UNIVERSIDAD CENTRAL DEL ECUADOR - Repositorio …€¦ · · 2015-06-112.2.4 nte inen - iso/iec...

I

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA

INSTITUTO DE INVESTIGACIÓN Y POSGRADO (IIP)

“IMPLEMENTACIÓN DEL MODELO DE GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN APLICANDO ISO 27000

EN LA EMPRESA COKA TOURS, AMBATO – ECUADOR”

ING. FRANCISCO XAVIER FREIRE ZAPATA

TUTOR: ING. JEFFERSON TARCISIO BELTRÁN MORALES

Trabajo presentado como requisito parcial para la obtención del grado de:

MAGÍSTER EN GESTIÓN INFORMÁTICA EMPRESARIAL

TERCERA PROMOCIÓN

Quito – Ecuador

2014

II

DEDICATORIA

A Dios y mis padres, por haberme dado todo lo necesario para llegar

hasta aquí, y poder lograr mis objetivos.

A Carito que gracias a su amor y apoyo incondicional siempre me

ayudó en todo momento.

A mi hermano Emilio, compañero de juegos, alegrías, tristezas y por

su gran corazón.

A mi abuelita América, que continúe siempre cuidándome y

guiándome con su amor y enseñanzas.

Ing. Francisco Xavier Freire Zapata

III

AGRADECIMIENTOS

A Dios por siempre darme la tranquilidad en los momentos que más

lo necesite.

A mi madre, porque siempre me transmitió su fuerza y sabiduría y me

impulsó a la realización de mi carrera.

A Carito que con su apoyo me impulsó a terminar esta carrera y lograr

mis objetivos.

A mi Tutor Ing. Jefferson Beltrán, por su gran ayuda y asesoramiento

en el desarrollo de mi tesis

A mis tutores, quienes me compartieron sus conocimientos los

mismos que me sirvieron para la elaboración de mi tesis.

Ing. Francisco Xavier Freire Zapata

IV

AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL

Yo, FRANCISCO XAVIER FREIRE ZAPATA en calidad de autor del trabajo de

investigación o tesis realizada sobre “IMPLEMENTACIÓN DEL MODELO DE

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN APLICANDO ISO

27000 EN LA EMPRESA COKA TOURS, AMBATO E – ECUADOR” , por la

presente autorizo a la UNIVERSIDAD CENTRAL DEL ECUADOR, hacer uso

de todos los contenidos que me pertenecen o de parte de los que contiene esta

obra, con fines estrictamente académicos o de investigación.

Los derechos que como autor me corresponden, con excepción de la presente

autorización, seguirán vigentes a mi favor, de conformidad con lo establecido en

los artículos 5, 6, 8, 19 y demás participantes de la Ley de Propiedad Intelectual y

su Reglamento.

Quito, 24 de noviembre del 2014

V

CERTIFICACIÓN

Certifico que el presente trabajo fue realizado en su totalidad por el Sr. Ing.

FRANCISCO XAVIER FREIRE ZAPATA, como requisito parcial a la obtención

del título de MAGISTER EN GESTIÓN INFORMÁTICA EMPRESARIAL -

TERCERA PROMOCIÓN.

26 de noviembre del 2014

VI

CONTENIDO

LISTADO DE TABLAS ....................................................................................... IX

LISTADO DE FIGURAS ....................................................................................... X

CAPÍTULO I ........................................................................................................ XII

INTRODUCCIÓN ................................................................................................... 1

1.1 Antecedentes. ..................................................................................................... 1

1.2 Ubicación. .......................................................................................................... 2

1.3 Planteamiento de Hipótesis. ............................................................................... 2

1.4 Objetivos. ........................................................................................................... 2

1.4.1 General. ...................................................................................................... 2

1.4.2 Específicos. ................................................................................................ 2

1.5 Justificación y alcance del proyecto. .................................................................. 3

CAPÍTULO II .......................................................................................................... 4

MARCO TEÓRICO Y LEGAL ............................................................................... 4

2.1 Introducción. ...................................................................................................... 4

2.2 Datos e Información. .......................................................................................... 5

2.2.1 Ley de Protección de Datos Personales. ..................................................... 5

2.2.2 Ley de Comercio Electrónico, firmas electrónicas y Mensajes de Datos. ... 6

2.2.3 Ley de propiedad Intelectual. ..................................................................... 7

2.2.4 NTE INEN - ISO/IEC 27000 : 2012. .......................................................... 8

2.3 Seguridad de la Información............................................................................... 9

2.4 ISO 27000. ....................................................................................................... 11

2.4.1 NTE INEN - ISO/IEC 27001:2011. .......................................................... 13

2.4.2 NTE INEN - ISO/IEC 27002:2009. .......................................................... 13

2.4.3 NTE INEN - ISO/IEC 27003:2012. .......................................................... 14

2.4.4 NTE INEN - ISO/IEC 27004:2012. .......................................................... 14

2.4.5 NTE INEN - ISO/IEC 27005:2012. .......................................................... 14

2.4.6 NTE INEN - ISO/IEC 27006:2012. .......................................................... 14

2.5 Otras Normas. .................................................................................................. 15

2.5.1 ISM3......................................................................................................... 15

2.5.2 COBIT 4.0. ............................................................................................... 16

2.5.3 Norma NTE INEN - ISO/IEC 27001:2011 y el Ciclo de Deming. ........... 18

VII

2.5.4 Norma NTE INEN - ISO/ IEC 27005:2012 y el Ciclo de Deming .......... 20

2.6 Entorno de la Empresa. .................................................................................... 20

2.6.1 Información de la Empresa. ...................................................................... 20

2.6.2 Situación Actual. ...................................................................................... 22

2.6.3 Estructura Organizacional de la Empresa. ................................................ 23

2.6.4 Información del Ambiente Tecnológico. .................................................. 24

2.6.5 Resumen Gerencial de Seguridad de la Información de la Empresa. ........ 26

CAPÍTULO III ....................................................................................................... 27

COMPONENTES DE LA SEGURIDAD DE LA INFORMACIÓN.................... 27

3.1 Política de Seguridad de la Información. .......................................................... 27

3.1.1 Propósito. ................................................................................................. 27

3.1.2 Alcance. .................................................................................................... 27

3.1.3 Normas y Disposiciones Generales. ......................................................... 27

3.2 Organización de la Seguridad de la Información. ............................................. 35

3.2.1 Propósito. ................................................................................................. 35

3.2.2 Alcance. .................................................................................................... 35


3.3 Gestión de los Activos de la Información. ........................................................ 40

3.3.1 Propósito. ................................................................................................. 40

3.3.2 Alcance. .................................................................................................... 41


3.4 Seguridad en Relación a Recursos Humanos. ................................................... 44

3.4.1 Propósito. ................................................................................................. 44

3.4.2 Alcance. .................................................................................................... 44


3.5 Gestión de Comunicaciones y Operaciones. ..................................................... 46

3.5.1 Propósito. ................................................................................................. 46

3.5.2 Alcance. .................................................................................................... 46


3.6 Control de Accesos. .......................................................................................... 50

3.6.1 Propósito. ................................................................................................. 50

3.6.2 Alcance. .................................................................................................... 50


VIII

3.7 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. .......... 56

3.7.1 Propósito. ................................................................................................. 56

3.7.2 Alcance. .................................................................................................... 56


3.8 Gestión de Incidentes de Seguridad de Información. ........................................ 57

3.8.1 Propósito. ................................................................................................. 57

3.8.2 Alcance. .................................................................................................... 58


3.9 Gestión de Continuidad Institucional. .............................................................. 66

3.9.1 Propósito. ................................................................................................. 66

3.9.2 Alcance. .................................................................................................... 66


CAPÍTULO IV ....................................................................................................... 71

MODELO DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

APLICANDO ISO 27000 ...................................................................................... 71

4.1 Descripción del Modelo. .................................................................................. 71

4.2 Utilidad. ........................................................................................................... 74

4.3 Alcance. ........................................................................................................... 75

4.4 Gerencia de la Seguridad de la Información. .................................................... 77

CAPÍTULO V ........................................................................................................ 78

IMPLEMENTACIÓN DEL MODELO DE LA GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN ....................................................................................... 78

5.1 Herramientas. ................................................................................................... 78

5.1.1 Metodología para Implementar el Modelo de Gestión de Seguridad de la

Información. ............................................................................................................. 78

5.1.2 Procedimiento de Gestión de Riesgos Empresarial. .................................. 79

5.2 Guías de Implementación. ................................................................................ 85

5.2.1 Requerimientos del Modelo Seguridad de la Información. ....................... 85

5.2.2 Determinación del Alcance....................................................................... 85

5.2.3 Implementar y Operar el SGSI. ................................................................ 89

5.2.4 Guía para el Análisis y Evaluación de Riesgos. ........................................ 89

5.2.5 Guía para la Elaboración del Plan de Continuidad del Negocio. .............. 98

5.3 Roles y Responsabilidades para la Seguridad de la Información. ................... 102

IX

5.4 Beneficio al Implementar un Modelo de Gestión de Seguridad de la

Información. ............................................................................................................... 107

CAPÍTULO VI ..................................................................................................... 110

CONCLUSIONES Y RECOMENDACIONES ................................................... 110

6.1 CONCLUSIONES ......................................................................................... 110

6.2 RECOMENDACIONES ................................................................................ 111

GLOSARIO DE TÉRMINOS .............................................................................. 113

BIBLIOGRAFÍA.................................................................................................. 116

LISTADO DE TABLAS

Tabla. 2.1. Criterio de Seguridad .......................................................................... 10

Tabla. 2.2. Entregables Ciclo de Deming en relación a la norma NTE INEN -

ISO/IEC 27001:2011 .............................................................................................. 19

Tabla. 2.3. Entregables Ciclo de Deming en relación a la norma NTE INEN - ISO/

IEC 27005:2012 ................................................................................................... 20

Tabla. 2.4. Catálogo de los Sistemas Informáticos de la Empresa Coka Tours….25

Tabla. 2.5. Resumen Gerencial de la Seguridad de la Información de la Coka

Tours……………………………………………………………………………..26

Tabla. 3.1. Determinación del Grado de Criticidad de un Incidente...................... 63

Tabla. 3.2. Responsables de los Planes Empresariales .......................................... 68

Tabla. 5.1. Metodología para implantar el Modelo de Gestión de de Seguridad de

la Información en la empresa “Coka Tours” ......................................................... 79

Tabla. 5.2. Matriz de Responsables de la Gestión de Riesgos Institucionales para

la empresa “Coka Tours”. ..................................................................................... 81

Tabla. 5.3. Matriz de Factores de Riesgo por Clase y Tipo para la empresa “Coka

Tours”. ................................................................................................................... 81

Tabla. 5.4. Valoración del Nivel de Riesgos para la empresa “Coka Tours”. ...... 82

Tabla. 5.5. Escala de Medición del Impacto de riesgos para la empresa “Coka

Tours”. ................................................................................................................... 83

Tabla. 5.6. Definición de Impacto para la empresa “Coka Tours”. ...................... 84

Tabla. 5.7. Matriz Identificación de Procesos críticos en la empresa “Coka Tours” 86

X

Tabla. 5.8. Estructura para redactar el riesgo en la empresa “Coka Tours” ……91

Tabla. 5.9. Roles y Responsables de la Gerencia de la Empresa “Coka Tours” . 103

Tabla. 5.10. Roles y Responsables del Comité de seguridad de la Información de

la empresa “Coka Tours” .................................................................................... 104

Tabla. 5.11. Roles y Responsabilidades del Departamento de Seguridad de la

Información de la Empresa “Coka Tours” .......................................................... 105

Tabla. 5.12. Roles y Responsabilidades del Departamento de Tecnología de la

Empresa “Coka Tours”. ...................................................................................... 105

Tabla. 5.13. Roles y Responsabilidades del Oficial de la Seguridad de la

Información de la Empresa “Coka Tours”. ......................................................... 106

Tabla. 5.14. Roles y Responsabilidades de los Responsables de la Información de

la Empresa “Coka Tours”. ................................................................................... 106

Tabla. 5.15. Comparativo Sin y Con la Implementación del Modelo seguridad de

la Información ..................................................................................................... 108

LISTADO DE FIGURAS

Figura 2.1. Los Pilares de la Seguridad de la Información. ................................... 10

Figura 2.2. Modelo PHVA aplicado a los procesos del SGSI ............................... 12

Figura 2.3. Relación del Grupo de Normas de SGSI ............................................. 12

Figura 2.4. Estructura Organizacional de la Empresa Coka Tours………………24

Figura 3.1 Ciclo de vida de respuesta a incidentes de seguridad ........................... 65

Figura 3.2 Gestión de la Continuidad. .................................................................. 70

Figura 4.1. Figura del proceso del modelo PHVA ................................................. 71

Figura 4.2. Figura del Modelo de Negocio para la Seguridad de la Información .. 72

Figura 4.3. Modelo de Deming - PHVA en relación a la empresa “CokaTours” . 72

Figura 4.4. Figura del Modelo Jerárquico del MGSI. ........................................... 73

Figura 4.5. Figura del Modelo de Gestión de Seguridad de la Información de la

empresa “CokaTours. ............................................................................................ 74

Figura 4.6. Figura de los componentes del Sistema de Gestión de Seguridad de la

Información - SGSI de la empresa “CokaTours .................................................... 76

Figura 5.1. Proceso de Gestión de Riesgos Empresarial. ...................................... 80

XI

Figura 5.2. Metodología de las elipses en el proceso de Atención al Cliente para la

empresa “Coka Tours”. ......................................................................................... 87

Figura 5.3. Metodología de las elipses en el proceso de E-COMMERCE para la

empresa “Coka Tours”. ......................................................................................... 87

Figura 5.4. Metodología de las elipses en el proceso de Marketing para la empresa

“Coka Tours”. ....................................................................................................... 88

Figura 5.5. Metodología de las elipses en el proceso de Gestión de Sistemas

Tecnológicos para la empresa “Coka Tours”. ....................................................... 88

XII

RESUMEN

IMPLEMENTACIÓN DEL MODELO DE GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN APLICANDO ISO 27000 EN LA EMPRESA

COKA TOURS, AMBATO – ECUADOR.

La implementación de un Modelo de Gestión de la Seguridad de la Información

contribuye a fomentar las actividades de protección y seguridad de la información

en las organizaciones, mejorando su imagen y generando confianza frente a

terceros.

Tenemos que considerar que la seguridad de la información no se lo gestiona

adquiriendo herramientas de software o hardware. Cada organización debe

establecer su normativa de seguridad que contiene políticas, procedimientos y

roles los mismo que deben estar definidos en la organización.

La implementación de la NTE INEN – ISO 2700 en la estandarización de la

normativa de seguridad, es esencial para ejecución del Modelo de Seguridad de la

Información y para el cumplimiento de adecuados niveles de seguridad.

El objetivo principal es implementar un Modelo de Gestión de la Seguridad de la

Información utilizando como base la Norma Técnica Ecuatoriana NTE INEN -

ISO 27000 en la empresa “COKA TOURS”, satisfaciendo las necesidades de

seguridad de la información y para utilizar una adecuada normativa seguridad, a

través de una guía de implementación, con adecuados niveles seguridad y

cumplimiento.

Descriptores: SEGURIDAD DE LA INFORMACIÓN/ NTE INEN - ISO 27000/

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN/ MODELO DE

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN/ MODELO DE

DEMING/ AMENAZAS DE SEGURIDAD DE LA INFORMACIÓN/

VULNERABILIDADES DE SEGURIDAD DE LA INFORMACIÓN.

XIII

ABSTRACT

IMPLEMENTATION MODEL MANAGEMENT INFORMATION

SECURITY ISO 27000 APPLYING IN THE COMPANY COKA TOURS,

AMBATO - ECUADOR.

Implementing a Model Management Information Security helps promote the

activities of protection and information security in organizations, improving their

image and generating confidence against third parties.

We have to consider that information security is not acquiring tools are managed

by software or hardware. Each organization should establish its safety regulations

containing policies, procedures and roles must be the same as defined in the

organization.

The implementation of the NTE INEN - ISO 2700 in the standardization of safety

regulations is essential for implementation of Security Model Information and to

comply with appropriate safety standards.

The main objective is to implement a Model Management Information Security

using as a basis the Ecuadorian Technical Standard NTE INEN - ISO 27000 in the

company "COKA TOURS" meeting the needs of information security and use

appropriate safety regulations through implementation guidance, with appropriate

security and compliance levels.

Descriptors: INFORMATION SECURITY / NTE INEN - ISO 27000 /

SECURITY POLICY INFORMATION / MODEL MANAGEMENT

INFORMATION SECURITY / MODEL DEMING / THREATS OF

INFORMATION SECURITY / VULNERABILITY OF INFORMATION

SECURITY.

XIV

CERTIFICACIÓN

Certifico que la traducción del Resumen de la Tesis de Grado "Implementación

del Modelo de Gestión de la Seguridad de la Información aplicando ISO2700 en

la empresa COKA TOURS, Ambato – Ecuador”, cuyo autor es el Sr. Ing.

FRANCISCO XAVIER FREIRE ZAPATA, fue realizado en su totalidad por mi

persona, además poseo la certificación de suficiencia del idioma Inglés.

30 de Octubre del 2014

1

CAPÍTULO I

INTRODUCCIÓN

1.1 Antecedentes.

Anteriormente la seguridad de información era considerada como

resguardar toda la documentación en lugares o sitios seguros; en la

actualidad y con el uso de nuevas tecnologías de información y

procesamiento de datos, los sistemas de seguridad han ido evolucionando y

las empresas como las organizaciones deben realizar inversiones sobre estos

recursos.

El objetivo fundamental de la gestión de la seguridad de la información no

es proteger los sistemas computacionales si no reducir los riesgos de pérdida

de información, considerado actualmente como un activo más de las

empresas como de las organizaciones; esto permite reducir los costos e

incrementar la operatividad en el negocio.

La información hoy en día es considerada como el activo más importante de

las empresas, pueden existir otros activos, pero todos se pueden adquirirlos

de alguna manera o modo, sin embargo si existe algún inconveniente de

seguridad la información en las empresas será casi imposible volver

adquirirla.

La información en una empresa se encuentra gestionada de forma

descoordinada, o se encuentra administrada por el Departamento de

Tecnología, la misma que tiene su propia normativa sin ninguna visión

general de las necesidades de las empresas y sin enfocarse en los objetivos

del negocio.

La implementación de un modelo de Gestión de la Seguridad de la

Información es la manera más eficaz de conseguir una coordinación y

gestión para poder orientar los recursos de la seguridad de la información,

hacia la consecución de los objetivos de la empresa.

El presente documento establece como implementar un modelo de gestión

de seguridad de la información aplicando ISO 27000, y cumpliendo con las

2

necesidades de la empresa de Turismo Nacional “Coka Tours”, y con los

acuerdos de niveles de seguridad y servicio.

1.2 Ubicación.

La implementación del modelo de Gestión de la Seguridad de la

Información aplicando ISO 2700, se va a realizar en una empresa de turismo

“Coka Tours” en la ciudad de Ambato, República del Ecuador.

1.3 Planteamiento de Hipótesis.

La implementación de un modelo de gestión de la seguridad de la

información, permitirá establecer niveles de seguridad adecuados y

satisfacer las necesidades económicas, aprovechando los recursos

tecnológicos; todo esto basado en el marco referencial de la ISO 27000 para

la empresa de turismo “Coka Tours”.

1.4 Objetivos.

1.4.1 General.

Implementar un modelo de gestión de la seguridad de la información, que

permita establecer niveles de seguridad adecuados y satisfacer las

necesidades económicas, aprovechando los recursos tecnológicos; todo

esto basado en el marco referencial ISO 27000 para una empresa de

turismo “Coka Tours”, durante el período 2013-2014.

1.4.2 Específicos.

Establecer un modelo para la Gestión de la Seguridad de la

Información basado en las normas ISO 27000.

Implementar las fases del modelo para la Gestión de la Seguridad de la

Información.

3

Evaluar y medir el modelo para la gestión de la seguridad de la

información, orientado a los objetivos y necesidades de la empresa en

relación al costo beneficio.

1.5 Justificación y alcance del proyecto.

En la actualidad las empresas se enfrentan cada vez más con riesgos e

inseguridades procedentes de una amplia variedad de fuentes que pueden

dañar de forma importante sus sistemas de información y pueden poner en

peligro la continuidad del negocio.

Ante estas circunstancias es imprescindible que las empresas evalúen los

riesgos asociados y establezcan las estrategias y controles adecuados que

aseguren una permanente protección y salvaguarda de la información.

Una gestión eficaz de la seguridad de la información permite garantizar:

Su confidencialidad, asegurando que sólo quienes estén autorizados

puedan acceder a la información.

Su integridad, asegurando que la información y sus métodos de

proceso son exactos y completos, y

Su disponibilidad, asegurando que los usuarios autorizados tienen

acceso a la información y a sus activos asociados cuando lo

requieran.

La implantación de un Modelo de gestión de la seguridad de la

información contribuye a fomentar las actividades de protección de la

información en las organizaciones, mejorando su imagen y generando

confianza frente a terceros. Todo esto conforme la Norma ISO/IEC 27000,

referente internacional para la certificación de la Gestión de Sistemas de

Información, que establece los requisitos para implantar, documentar y

evaluar un sistema de gestión de la seguridad de la información.

4

CAPÍTULO II

MARCO TEÓRICO Y LEGAL

2.1 Introducción.

Cada día las organizaciones están más consientes de que la información es

un activo indispensable y vital no únicamente para el éxito y la

continuidad en sus negocios, sino adicionalmente el mecanismo mediante

el cual depende su supervivencia dentro del mundo globalizado, el

aseguramiento de la información y de los sistemas que la procesan es, por

tanto, un objetivo siempre priorizado dentro de las organizaciones.

La Seguridad de la Información se ha convertido en uno de los ejes que

mayor preocupación tiene hoy en día en las organizaciones, las áreas de

tecnología intentan estar siempre adelante con la finalidad de evitar

ataques, desastres o fuga de información en las empresas. Sin embargo

toda la inversión y los esfuerzos realizados no son correctamente

encaminados.

Tenemos que considerar que la seguridad de la información no se lo

gestiona solo adquiriendo hardware o software en las empresas, sino como

una estrategia que contiene políticas, procedimientos y roles que deben

estar definidos en la organización.

Muchas personas asocian la idea de seguridad de la información con

hackers, esta es sola una de las amenazas que hay que considerar al

momento de diseñar un sistema de seguridad. La seguridad de la

información tiene muchos frentes, la tecnología representa un aspecto

relacionado a la seguridad de la información.

Para la correcta gestión de la seguridad de la información, es necesario

implementar un modelo que cubra esta necesidad de una manera metódica,

documentada y basada en unos objetivos claros de lo que la seguridad de

la información involucra así como una evaluación de los riesgos a los que

está sometida la información de la organización.

5

Actualmente existen diferentes formas de llevar la seguridad de la

información, la que debe contar con políticas de seguridad de la

información cuyo contenido norme el aseguramiento del activo más

importante de las empresas. Otro punto importante es la adhesión de

alguna normativa de seguridad internacional que nos ayude con la

dirección de generación de políticas como son las normas ISO 27000.

Las ISO/IEC 27000 es un conjunto de estándares construidos por ISO

(International Organization for Standardization) e IEC (International

Electrotechnical Commission), que proporcionan un marco inicial de la

gestión de la seguridad de la información útil que puede ser aplicable a

cualquier tipo de organización, pública o privada, grande o pequeña.

En la empresa de turismo “Coka Tours” se observó que no existe un

modelo de Gestión de la Seguridad de la Información, o normativa de

seguridad de la información. Si bien se evidenció que existen ciertos

controles que realizan y que cubren algunos aspectos de seguridad de la

información, carece de una gestión adecuada y una guía de

implementación para la gestión de la seguridad.

El presente trabajo investigativo aborda la implementación de un modelo

para la gestión de la seguridad de la información que analiza las distintas

normas que componen la serie ISO 27000 de la gestión de la seguridad de

la información, respaldado por la normativa de seguridad y que permita ser

aplicado en la empresa.

2.2 Datos e Información.

2.2.1 Ley de Protección de Datos Personales.

Según lo establecido en la Base Constitucional en su Art. 66 de la

Constitución de la República del Ecuador, mayor información se

encontrará en: [1] en su parte pertinente dispone:

“…Se reconoce y garantizará a las personas: 19. El derecho a la

protección de datos de carácter personal, que incluye el acceso y la

6

decisión sobre información y datos de este carácter, así como su

correspondiente protección.

La recolección, archivo, procesamiento, distribución o difusión de estos

datos 19 de información requerirán la autorización del titular y el

mandato de la ley”,

2.2.2 Ley de Comercio Electrónico, firmas electrónicas y Mensajes de

Datos.

Lo que establece la Ley de Comercio Electrónico, Firmas Electrónicas y

Mensajes de Datos, en el Capítulo I DE LOS MENSAJES DE DATOS.,

mayor información se encontrará en [2].

En su Art. 5 en su parte pertinente dispone:

“Confidencialidad y reserva.- Se establecen los principios de

confidencialidad y reserva para los mensajes de datos, cualquiera sea su

forma, medio o intención. Toda violación a estos principios,

principalmente aquellas referidas a la intrusión electrónica, transferencia

ilegal de mensajes de datos o violación del secreto profesional, será

sancionada conforme a lo dispuesto en esta Ley y demás normas que rigen

la materia”.


“Protección de datos.- Para la elaboración, transferencia o utilización de

bases de datos, obtenidas directa o indirectamente del uso o transmisión

de mensajes de datos, se requerirá el consentimiento expreso del titular de

éstos, quien podrá seleccionar la información a compartirse con terceros.

La recopilación y uso de datos personales responderá a los derechos de

privacidad, intimidad y confidencialidad garantizados por la Constitución

Política de la República y esta ley, los cuales podrán ser utilizados o

transferidos únicamente con autorización del titular u orden de autoridad

competente”.

7

Lo que establece el Reglamento a la Ley de Comercio Electrónico, Firmas

Electrónicas y Mensajes de Datos, mayor información se encontrará en:

[3].


“Información al usuario.- La información sobre los programas o equipos

que se requiere para acceder a registros o mensajes de datos deberá ser

proporcionada mediante medios electrónicos o materiales. En el caso de

uso de medios electrónicos se contará con la confirmación de recepción

de la información por parte del usuario, cuando se usen medios

materiales, los que formarán parte de la documentación que se le deberá

entregar al usuario.”


“De la seguridad en la prestación de servicios electrónicos.- La

prestación de servicios electrónicos que impliquen el envío por parte del

usuario de información personal, confidencial o privada, requerirá el

empleo de sistemas seguros en todas las etapas del proceso de prestación

de dicho servicio. Es obligación de quien presta los servicios, informar en

detalle a los usuarios sobre el tipo de seguridad que utiliza, sus alcances y

limitaciones, así como sobre los requisitos de seguridad exigidos

legalmente y si el sistema puesto a disposición del usuario cumple con los

mismos. En caso de no contar con seguridades se deberá informar a los

usuarios de este hecho en forma clara y anticipada previo el acceso a los

sistemas o a la información e instruir claramente sobre los posibles

riesgos en que puede incurrir por la falta de dichas seguridades”.

2.2.3 Ley de propiedad Intelectual.

Según la Ley de Propiedad Intelectual, mayor información se encontrará

en: [4].


8

“…Se protege la información no divulgada relacionada: a) La

información sea secreta en el entendido de que como conjunto o en la

configuración y composición precisas de sus elementos no sea conocida en

general ni fácilmente accesible a las personas integrantes de los círculos

que normalmente manejan el tipo de información de que se trate;”

Se considera como protección de información el conocimiento tecnológico

conformado por procedimientos de fabricación y producción general.


“Toda persona que con motivo de su trabajo, empleo, cargo, puesto,

desempeño de su profesión o relación de negocios, tenga acceso a una

información no divulgada, deberá abstenerse de usarla y de divulgarla,

sin causa justificada, calificada por la jueza o juez competente y sin

consentimiento del titular, aun cuando su relación laboral, desempeño de

su profesión o relación de negocios haya cesado”.

2.2.4 NTE INEN - ISO/IEC 27000 : 2012.

Según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC 27000:2012,

mayor información se encontrará en: [31].

“La información es un activo, al igual que otros activos importantes del

negocio, es esencial para el negocio de una organización y

consecuentemente necesita estar protegida apropiadamente. La

información puede ser almacenada de muchas maneras incluyendo: en

forma digital (por ejemplo, archivos de datos almacenados en medios

electrónicos u ópticos), en forma material (por ejemplo, sobre papel), al

igual que información sin representación como el conocimiento de los

empleados. La información puede ser transmitida por varios medios

incluyendo: mensajería, comunicación electrónica o verbal. Cualquiera

que sea la forma que la información adopta, o los medios por los cuales se

transmite, ésta siempre necesita de protección adecuada.

9

La información de una organización depende de las Tecnologías de la

Información y Comunicación.

Estas tecnologías son elementos esenciales en cualquier organización y

ayudan a facilitar la creación, procesamiento, almacenamiento,

transmisión, protección y destrucción de la información. En los casos y en

la medida en que el ambiente global de negocios interconectado se

amplía, de la misma manera lo hace la necesidad de proteger la

información, por cuanto está ahora expuesta a una variedad más amplia

de amenazas y vulnerabilidades”.

2.3 Seguridad de la Información.

Según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC 27000:2012,

mayor información se encontrará en: [31].

“La seguridad de la información incluye tres dimensiones principales:

confidencialidad, disponibilidad e integridad. Con el propósito de

asegurar un éxito sostenido del negocio y su continuidad, y para

minimizar los impactos, la seguridad de la información implica la

aplicación y gestión de medidas de seguridad apropiadas que involucran

la consideración de una amplia gama de amenazas.

La seguridad de la información se logra mediante la implementación de

un grupo de controles aplicables, seleccionados a través del proceso de

gestión del riesgo escogido y gestionado utilizando un SGSI, incluyendo

políticas, procesos, procedimientos, estructuras organizacionales,

software y hardware para proteger los activos de información

identificados. Estos controles necesitan ser identificados, implementados,

monitoreados, revisados, y mejorados donde sea necesario, para asegurar

que los objetivos específicos de seguridad y del negocio de la

organización se cumplan. Se espera que los controles pertinentes a la

seguridad de la información sean integrados de forma transparente con

los proceso del negocio de la organización.”

10

Estas tres dimensiones o criterios de la seguridad como se les conocen,

son usados a nivel mundial por los modelos de mejores prácticas y

estándares los mismos que son:

Tabla. 2.1. Criterio de Seguridad

Realizado por: FREIRE F., 14- noviembre-2013.

Figura 2.1. Los Pilares de la Seguridad de la Información

Fuente: La gestión de la Seguridad en la Empresa, mayor información se

encontrará en [14].

11

2.4 ISO 27000.

Las normas NTE INEN - ISO/IEC 27000:2012, en especial la NTE INEN

- ISO/IEC 27001:2011 e NTE INEN - ISO/IEC 27002:2009, tienen como

principales objetivos:

Establecer el marco metodológico para un Sistema de Gestión de la

Seguridad de la Información.

La gestión de controles proporcionales a los riesgos.

La documentación de políticas, procedimientos, controles,

estándares y tratamiento a los riegos.

Identificación y asignación de responsabilidades dentro de la

empresa por un nivel optimó.

Formalización, seguimiento y revisión de los controles y riesgos,

de forma sistemática y metodológica.

La gestión de los incidentes de seguridad de la información.

Control, revisión y mejora continua del Sistema de Gestión de

Seguridad de Información

La gestión y tratamiento de los Riesgos de la empresa.

La medición de la efectividad y eficiencia de los controles y del

modelo del Sistema de Gestión de Seguridad de la Información

Todos estos lineamientos metodológicos y los requerimientos de la norma

NTE INEN- ISO/IEC 27001:2011 son propuestos bajo el enfoque

metodológico del Ciclo de Deming: Planificar – Hacer – Verificar –

Actuar (PHVA).

12

Figura 2.2. Modelo PHVA aplicado a los procesos del SGSI

Fuente: NTE INEN ISO/IEC 2700, mayor información se encontrará en [32].

Además existen normas que son básicamente una especificación de

requerimientos como la NTE INEN- ISO/IEC 27001:2011 e NTE INEN -

ISO/IEC 27006: 2012 estas son guías de implementación o lineamientos

que soportan el ciclo de Deming PHVA para el Sistema de Gestión de la

Seguridad de la Información, como la NTE INEN - ISO/IEC 27003:2012 o

NTE INEN - ISO/IEC 27005:2012.

Figura 2.3. Relación del Grupo de Normas de SGSI

Fuente: NTE INEN ISO/IEC 27000, mayor información se encontrará en [31]

13

Para este trabajo se van describir brevemente lo más importante que se

utilizó referente a las Normas Técnicas Ecuatoriana ISO/IEC 27000 lo

mismo que se detalla a continuación:

La NTE INEN - ISO/IEC 27000:2012 – Tecnología de la Información –

Técnicas de Seguridad – Sistema de Gestión de Seguridad de la

Información – Descripción General y Vocabulario. En esta norma provee

una visión general y la gestión de la seguridad de la información, el

estado y la relación de las normas de la familia de estándares para un

Sistema de Gestión de la Seguridad de Información, con la definición de

términos relacionados. Mayor información se encontrará en [31].

2.4.1 NTE INEN - ISO/IEC 27001:2011.

La NTE INEN - ISO/IEC 27001:2011 – Tecnología de la Información -

Técnicas de Seguridad – Sistema de Gestión de la Seguridad de la

Información – Requisitos. En esta norma se establece los requerimiento

para un modelo para la definición, implementación, operación,

supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión

de la Seguridad de la Información – SGSI. Mayor información se


2.4.2 NTE INEN - ISO/IEC 27002:2009.

La NTE INEN - ISO/IEC 27002:2009 Tecnología de la Información -

Técnicas de la Seguridad – Código de Práctica para la gestión de la

Seguridad de la Información. Es una guía de implementación de controles,

por lo que establece las directrices para comenzar, implementar, mantener

y mejorar la gestión de la Seguridad de la Información en la empresa. Esta

norma nos presenta once principales cláusulas de control con sus

indicaciones de los objetivos de control, con varios controles por cada una

de estas cláusulas., mayor información se encontrará en [33].

14

2.4.3 NTE INEN - ISO/IEC 27003:2012.

La NTE INEN - ISO/IEC 27003:2012 - Tecnología de la Información -

Técnicas de Seguridad – Guía de Implementación del Sistema de Gestión

de la Seguridad de la Información. Esta norma se enfoca en los aspectos

críticos requerido para el diseño e implementación de un Sistema de

Gestión de la Seguridad de la Información (SGSI), por lo que provee

información práctica de cómo implementar la norma NTE INEN -

ISO/IEC 27001:2011. Mayor información se encontrará en [34].

2.4.4 NTE INEN - ISO/IEC 27004:2012.


Técnicas de Seguridad – Gestión de la Seguridad de la Información –

Medición. Esta norma proporcionar una guía sobre el desarrollo y la

utilización de medidas y medición para evaluar la efectividad de un

Sistema de Gestión de la Seguridad de la Información, los objetivos de

control y controles utilizados para implementar y gestionar la Seguridad de

la Información, de acuerdo con la norma NTE INEN - ISO/IEC

27001:2011. Mayor información se encontrará en [35].

2.4.5 NTE INEN - ISO/IEC 27005:2012.


Técnicas de Seguridad – Gestión del Riesgo en la Seguridad de la

Información. En esta norma se establece las directrices para la Gestión del

Riesgo de la Seguridad de la Información, la misma que brinda soporte a la

norma NTE INEN - ISO/IEC 27001:2011. Mayor información se


2.4.6 NTE INEN - ISO/IEC 27006:2012.


Técnicas de Seguridad – Requisitos para Organizaciones que proveen

Auditoría y Certificación de Sistemas de Gestión de la Seguridad de la

15

Información. En esta norma se especifica los requerimientos y proporciona

una guía para organizaciones que proveen auditoría y certificación de un

Sistema de Gestión de la Seguridad de la Información (SGSI). Mayor

información se encontrará en [37].

2.5 Otras Normas.

2.5.1 ISM3.

Es un estándar para la creación de sistemas de gestión de la seguridad de la

información, puede usarse por si solo o para mejorar sistemas basados en

ISO 27001, COBIT, ITIL. En este estándar se establecen diferentes niveles

de seguridad con el objetivo de alcanzar un nivel de riesgo aceptable, y

garantizar la consecución de los objetivos del negocio, por lo que permite

relacionar los objetivos del negocio con los objetivos de la seguridad.

A continuación se detallan algunas características del estándar ISM3:

“Métricas de Seguridad de la Información - hace de la seguridad

un proceso medible mediante métricas de gestión de procesos. Esto

permite la mejora continua del proceso, dado que hay criterios

para medir la eficacia y eficiencia de los sistemas de gestión de

seguridad de la información.

Niveles de Madurez – se adapta tanto a organizaciones maduras

como a emergentes mediante sus cinco niveles de madurez, los

cuales se adaptan a los objetivos de seguridad de la organización y

a los recursos que están disponibles.

Basado el Procesos - está basado en procesos, al igual que

sistemas de gestión como ISO9001 o ITIL., fomenta la

colaboración entre proveedores y usuarios de seguridad de la

información, dado que la externalización de procesos de seguridad

se simplifica.

16

Adopción de las Mejores Prácticas – Una implementación de

ISM3 tiene extensas referencias a estándares bien conocidos en

cada proceso, así como la distribución explícita de

responsabilidades entre los líderes, gestores y el personal técnico

usando el concepto de gestión Estratégica, Táctica y Operativa.”

Este estándar tiene relación con la norma ISO/IEC 27001 porque es una

norma basada en controles (y no en procesos). Por lo que permite la

compatibilidad de ISM3 con la implementación y mejora de un SGSI,

aplicando el modelo propuesto por ISM3 y dando cumplimiento a los

requerimientos de la norma ISO/IEC 27001., mayor información se

encontrará en: [15].

2.5.2 COBIT 4.0.

Es un marco de trabajo para la Gestión de Tecnología de la Información

(IT), orientado en el negocio y en procesos, y basado en controles. Para

ello considera tres dimensiones:

Los dominios, procesos y actividades de IT.

Los requerimientos de la información del negocio.

Los recursos de IT.

Los dominios que se definen en COBIT son: “Planificación y

Organización; Adquisición e Implementación; Entrega y Soporte;

Monitoreo y Evaluación”. En el dominio de la “Planificación y

Organización” se centra en la alineación de IT con los objetivos y

estrategias del negocio, y en la gestión de riesgos, de la misma forma en el

dominio de “Entrega y Soporte” se especifica un proceso de

“Aseguramiento de la Continuidad del Servicio y Operaciones”. Mayor

información en [37].

Por lo tanto, para satisfacer los objetivos de negocio en base del modelo

para el gobierno de TI se definen los siguientes criterios de información.

Mayor información en [37]:

17

“La efectividad tiene que ver con que la información sea relevante

y pertinente a los procesos del negocio, y se proporcione de una

manera oportuna, correcta, consistente y utilizable.

La eficiencia consiste en que la información sea generada

optimizando los recursos (más productivo y económico).

La confidencialidad se refiere a la protección de información

sensitiva contra revelación no autorizada.

La integridad está relacionada con la precisión y completitud de la

información, así como con su validez de acuerdo a los valores y

expectativas del negocio.

La disponibilidad se refiere a que la información esté disponible

cuando sea requerida por los procesos del negocio en cualquier

momento. También concierne con la protección de los recursos y

las capacidades necesarias asociadas.

El cumplimiento tiene que ver con acatar aquellas leyes,

reglamentos y acuerdos contractuales a los cuales está sujeto el

proceso de negocios, es decir, criterios de negocios impuestos

externamente, así como políticas internas.

La confiabilidad significa proporcionar la información apropiada

para que la gerencia administre la entidad y ejercite sus

responsabilidades fiduciarias y de gobierno.”

En cuanto a los recursos, y para el fin propuesto, se consideran los

siguientes., mayor información en [16]:

“Las aplicaciones incluyen tanto sistemas de usuario

automatizados como procedimientos manuales que procesan

información.

La información son los datos en todas sus formas de entrada,

procesados y generados por los sistemas de información, en

cualquier forma en que son utilizados por el negocio.

La infraestructura es la tecnología y las instalaciones (hardware,

sistemas operativos, sistemas de administración de base de datos,

redes, multimedia, etc., así como el sitio donde se encuentran y el

18

ambiente que los soporta) que permiten el procesamiento de las

aplicaciones.

Las personas son el personal requerido para planear, organizar,

adquirir, implementar, entregar, soportar, monitorear y evaluar

los sistemas y los servicios de información. Estas pueden ser

internas, por outsourcing o contratadas, de acuerdo a como se

requieran.”

Por lo que se analiza, la compatibilidad y complementariedad de Cobit con

la norma NTE INEN - ISO/IEC 27002:2009, donde se establece un mapeo

y cierto sincronismo entre ambos, y por ende con los objetivos de control y

controles que se especifican en Anexo A de la NTE INEN - ISO/IEC

27001:2011. Mayor información [32].

2.5.3 Norma NTE INEN - ISO/IEC 27001:2011 y el Ciclo de Deming.

La NTE INEN - ISO/IEC 27001:2011 – Tecnología de la Información -

Técnicas de Seguridad – Sistema de Gestión de la Seguridad de la

Información – Requisitos, especifica los requerimientos para establecer,

implementar, operar, supervisar, revisar, mantener y mejorar un Sistema

de Gestión de Seguridad de la Información (SGSI). Especifica además los

requerimientos para la implementación de controles de seguridad para las

necesidades de una organización, un sector de la misma, o un proceso,

según el alcance del SGSI.

Sin embargo, si bien sugiere un enfoque para su cumplimiento, no

establece una metodología concreta para lograr los productos y esa

documentación requerida.

En el siguiente cuadro se establece los entregables y que productos son

requeridos por esta norma, relacionado con el Ciclo de Deming., mayor

información en [32].

19

Ciclo de Deming -

PHVA

Entregables

Planificar

Definir el Alcance

Establecer Política del SGSI

Evaluación de Riesgos

Identificación de Riesgos

Análisis y Evaluación de Riesgos

Evaluar alternativas para el Plan de tratamiento de

riesgos.

Aceptación de riesgos

Hacer

Implementar plan de tratamiento de riesgos

Implementar los controles seleccionados

Definir las métricas

Implementar programas de concientización

Gestionar la operación del SGSI

Gestionar recursos

Implementar procedimientos y controles para la

gestión de incidentes de seguridad

Verificar

Ejecutar procedimientos de seguimiento y revisión de

controles.

Realizar revisiones regulares de cumplimiento y

eficacia de los controles y Medir la eficacia de los

controles y verificación de satisfacción de los

requerimientos de seguridad.

Revisión de la evaluación de riesgos periódicamente.

Realizar auditorías internas

Revisión de alcance y líneas de mejoras del SGSI por

la Administración.

Registrar acciones que podrían impactar la eficacia

y/o eficiencia del SGSI

Actuar

Implementar las mejoras identificadas para el SGSI

Implementar las acciones correctivas y preventivas

pertinentes.

Comunicar acciones y mejoras a todas las partes

involucradas.

Asegurarse que las mejoras logren los objetivos

previstos.

Actualizar los planes de seguridad


ISO/IEC 27001:2011

Realizado por: FREIRE F., 16-noviembre-2013.

20

2.5.4 Norma NTE INEN - ISO/ IEC 27005:2012 y el Ciclo de Deming


Técnicas de Seguridad – Gestión del Riesgo, se encuentra alineada con la

NTE INEN - ISO/IEC 27001:2011, esta propone la aplicación del Ciclo de

Deming aplicado a la Gestión de Riesgo de la Seguridad de la

Información. Mayor información se encontrará en [10].

En el siguiente cuadro se establece los entregables y que productos son

requeridos por esta norma.


ISO/ IEC 27005:2012


2.6 Entorno de la Empresa.

2.6.1 Información de la Empresa.

La empresa fue creada hace 11 años con el objetivo de explotar la

actividad turística como una agencia de viajes de turismo receptivo, bajo la

razón social de Coka Tours.

Desde 2005, la empresa amplió sus operaciones bajo la supervisión del

SR. Segundo Freire, además de explotar la actividad turística como una

agencia de viajes de turismo receptivo, comienza a ejercer la actividad de

21

agencia de viajes internacional, y en actividades para la comodidad, y

facilidad en la prestación de servicios turísticos (Deportes Extremos); así

como el de la administración de paraderos, miradores turísticos, y la

transportación de personas.

En el 2008 Coka Tours ya cuenta con sucursales en cada una de las

provincias de la Amazonía del Ecuador continuando hasta la actualidad la

administración y ahora socio de la empresa Coka Tours, el Sr. Segundo

Freire.

En el 2013 Coka Tours se fusiona con la empresa “Popangui” relacionado

al turismo interno de expedición en la selva ecuatoriana.

La continúa capacitación al recurso humano como la mejora en la

tecnología y su experiencia, la empresa ha logrado posesionar en la

Amazonía Ecuatoriana para la prestación de servicios turísticos.

2.6.1.1 Actividad Económica.

La empresa tiene por finalidad proporcionar servicios turísticos de forma

nacional, e internacional tanto como agencia de viajes como operadora de

turismo receptivo, y transportación de personas.

2.6.1.2 Naturaleza Jurídica.

La empresa es una persona jurídica de derecho público con autonomía

técnica, administrativa, económica, y con patrimonio propio.

2.6.1.3 Misión.

Lograr la satisfacción de nuestros clientes mediante la entrega de

excelencia y calidad en los servicios turísticos que ofrecemos.

Nuestro compromiso con nuestros socios es el de proveerlos de una

plataforma para su desarrollo, mediante nuestro crecimiento en

rentabilidad.

22

Nuestra responsabilidad con la sociedad y las comunidades en las que

operamos, es la de contribuir a su progreso y mejorar sus expectativas

para el futuro.

2.6.1.4 Visión.

Ser la empresa de mayor rentabilidad dentro de la actividad turística de la

región Amazónica, con personal altamente calificado con una

participación de no menor del 80%.

2.6.2 Situación Actual.

Se realizó un análisis de la situación actual de la empresa en la que se

establece que la infraestructura tecnológica se encuentra en un alto

crecimiento, para lo cual es necesario establecer una normativa de


Actualmente todos los sistemas informáticos de la empresa soportan los

procesos del negocio así como la información crítica de los estados

financieros, el soporte y administración de la infraestructura tecnológica,

bases de datos, redes, sistemas operativos es soportada por el

Departamento de Tecnología.

Los principales procesos de la Empresa Coka Tours son:

Atención al Cliente.

E-COMMERCE.

Logística.

Marketing

Ventas.

Contabilidad.

Recursos Humanos.

Gestión de Sistemas Tecnológicos.

La empresa cuenta con un centro de cómputo en Ambato (Oficina

Principal). La sincronización de la información entre las sucursales y la

oficina principal ocurre una vez al día a través de un enlace telefónico.

23

En la actualidad existen ciertos controles que permiten tener un grado de

seguridad de la información, sin embargo estos no son eficientes en su

totalidad debido a que no se encuentra especificado en una normativa, ni

definido un Modelo de Gestión de Seguridad de la Información que sirva

como base. Con estos antecedentes hemos encontrado las siguientes

novedades:

No existe Normativa (políticas) que se encuentre documentada y

difundida en lo relacionado a la Seguridad de la Información.

Actualmente no se tiene establecido un Modelo de Gestión de la

Seguridad de la Información en la empresa.

Los equipos computacionales así como los recursos y servicios

tecnológicos asociados o configurados no se encuentran normados,

ni se establecen los criterios de seguridad en su utilización, ni sus

restricciones y prohibiciones.

No existe control sobre uno de los puntos que generalmente más

vulnerables relacionado a la seguridad de la información y que es

el Recurso Humano, por motivo de que no se encuentra normado el

manejo, y sus activos de la información.

La transferencia o traslado de la información se la realiza en

medios no seguros, si se transmitiera información considerada

como confidencial a través de estos medios la empresa se ve en un

alto riesgo de comprometer este tipo de información.

No se encuentra documentado los roles y responsabilidades de cada

uno de los actores de la empresa sobre Seguridad de la

información.

La empresa no tiene definido el Departamento de Seguridad de la

Información, ni el Oficial de Seguridad de la Información.

2.6.3 Estructura Organizacional de la Empresa.

La empresa actualmente posee establecido una estructura organizacional

defina; con la implementación del Modelo de Gestión de Seguridad de la

Información, se estableció que dentro de esta estructura se encuentre el

24

Departamento de Seguridad de la Información, que es uno de los requisitos

necesarios para la implementación del Modelo de Gestión de Seguridad de

la Información, en la figura a continuación se define la estructura

organizacional de la empresa:

Figura 2.4. Estructura Organizacional de la Empresa Coka Torus

Fuente: Empresa Coka Torus.

2.6.4 Información del Ambiente Tecnológico.

2.6.4.1 Catálogo de Sistemas Informáticos de la Empresa.

En el cuadro a continuación se especifica el catálogo de los sistemas

informáticos de la Empresa Coka Tours y los procesos de Negocio que se

Soportan.

25

Tabla. 2.4. Catálogo de los Sistemas Informáticos de la Empresa Coka Tours.

Realizado por: FREIRE F., 10-Octubre-2014.

2.6.4.2 Recurso Tecnológico.

2.6.4.2.1 Software.

Linux RedHat Entreprise Server 3.x

Office 2003 Profesional.

Lotus Domino 5.x.

Windows XP

SQL Server

Visual Basic 6.0 Entreprise.

2.6.4.2.2 Hardware.

Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de

memoria, RAID 5, 4 fuentes redundantes, dispositivo de cinta

magnética).

Proxy Server (S.O.Linux, procesador PENTIUM 4, 512 MB).

MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM

4, 512 MB).

Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512

de memoria, dispositivo de cinta magnética).

140 PC en toda la organización.

2.6.4.2.3 Red.

Cableado estructurado categoría 5 - 6.

26

Red Inalámbrica.

BACKBONE de comunicaciones.

Conexión dial-up con las sucursales

2.6.5 Resumen Gerencial de Seguridad de la Información de la Empresa.

Dentro de la empresa se ejecuto una medición para establecer la Madurez

de Seguridad de la Información que existe actualmente y el mejoramiento

que existirá con la Implementación del Modelo de Gestión de la Seguridad

de la Información:

En el cuadro a continuación se considera lo siguiente:

La situación actual de la empresa, y.

La situación de la empresa luego de la implementación.

Tabla. 2.5. Resumen Gerencial de la Seguridad de la Información de la Coka

Tours.


27

CAPÍTULO III

COMPONENTES DE LA SEGURIDAD DE LA INFORMACIÓN

3.1 Política de Seguridad de la Información.

3.1.1 Propósito.

Normar y controlar la gestión de la seguridad de la información de la

empresa, en todo su ciclo de vida y formatos, con el propósito de proteger

la información mediante la implementación de medidas de seguridad

preventivas, detectivas, de respuesta, y de recuperación, que contribuyan a

garantizar la confidencialidad, integridad y disponibilidad de la

información física y digital; gestión que a su vez debe estar alineada al

cumplimiento de los objetivos de la empresa.

3.1.2 Alcance.

La presente Política se aplica para la protección de toda la información

física o digital, recibida o generada durante los procesos estratégicos,

operativos y de apoyo que realiza la empresa Coka Tours, así como la

información relacionada a la correspondencia y que se encuentra bajo su

custodia en archivos físicos, temporales o permanentes, bases de datos,

almacenada en recursos tecnológicos a nivel de usuario y equipos

servidores; y, la información que se encuentra en etapa de gestión de

procesos internos.

3.1.3 Normas y Disposiciones Generales.

a) Todos los aspectos que no se encuentren normados de forma expresa

en esta Política deben ser complementados o suplidos por las

disposiciones de la Gerencia de la Empresa.

b) El personal que incumpliere sus obligaciones o contraviniere las

disposiciones de esta Política, así como las leyes y normativa conexa,

debe incurrir en responsabilidad administrativa que será sancionada

28

disciplinariamente, sin perjuicio de la acción civil o penal que pudiere

originar el mismo hecho.

c) Es responsabilidad de la empresa Coka Tours la protección y custodia

de toda la información recibida o generada por el personal contratado

en la utilización de los distintos sistemas informáticos facilitados por la

organización; la misma podrá estar contenida en documentos,

informes, reportes, bases de datos, archivos temporales o permanentes

sean estos físicos o digitales, los cuales son sujeto de custodia y

control de la empresa Coka Tours.

d) Los empleados de la empresa Coka Tours tienen la obligatoriedad de

cumplir los procedimientos e instrucciones establecidas para el manejo

documental conforme a la normativa definida por la empresa.

3.1.3.1 Manejo de Información de la Empresa.

a) Utilizar la información a la que tiene acceso en razón de sus funciones,

únicamente para los fines permitidos, conforme a las órdenes de su

superior jerárquico.

b) Abstenerse de acceder a la información no autorizada, no asignada o

no permitida.

c) No revelar, disponer, guardar, extraer, reproducir o eliminar

información con fines ajenos de la empresa.

d) No entregar información de la empresa a terceras personas o a otras

organizaciones consideradas por la empresa como a toda la

competencia.

e) No utilizar la información de la empresa para provecho o ventaja

personal, sus familias, o cualquier otra persona.

f) Aplicar las medidas de protección que sean necesarias para proteger la

información de la empresa, a fin de minimizar el riesgo de difusión,

acceso y uso no autorizado, para evitar impacto negativo a la imagen y

gestión de la empresa.

29

3.1.3.2 Uso Aceptable de Computadores de Escritorios y/o Portátiles o

Dispositivos de Manejo de Información.

a) La empresa Coka Tours establece que los computadores de escritorio

y/o portátiles, así como los recursos y servicios configurados en dichos

equipos son de su propiedad, los mismos que facilitan la gestión y

custodia de la información de la empresa; por lo tanto serán tratados

como activos empresariales, sujetos de administración y control.

b) Toda la información almacenada en los computadores de escritorio y/o

portátiles asignados al personal, es de propiedad de la empresa Coka

Tours, motivo por el cual podrá ser monitoreada y controlada.

c) Todo el personal es responsable de gestionar y manejar la información

de la empresa a través del correo electrónico definido para el efecto y

de las herramientas de manejo documental.

d) El uso de dispositivos de almacenamiento externo al computador

(dispositivos USB, discos duros externos, unidades de escritura de

discos ópticos, etc.) no deben contravenir a las normas dispuestas en la

presente política.

e) Se autoriza el uso de dispositivos de almacenamiento externo para el

traslado de la información siempre que se encuentre autorizado por la

Jefatura pertinente.

f) Todos los computadores de escritorio y/o portátiles asignados al

personal de la empresa, deben tener instalado y operativo el antivirus

Institucional para protegerlo contra amenazas de código malicioso.

g) Para la autorización de acceso a la red de la empresa las computadoras

de escritorio y/o equipos portátiles externos, deben contar con un

software antivirus actualizado, está verificación la realizará el personal

de Soporte a Usuarios.

h) El personal de la empresa Coka Tours, a quien se le haya asignado un

computador de escritorio y/o portátil, deberán cumplir las siguientes

normas:

Acatar las normas establecidas para la generación y uso de

contraseñas relacionadas con computadores de escritorio y

30

portátiles.

Bloquear obligatoriamente la sesión del computador (presionar

CTRL+ALT+SUPR) en caso de ausentarse del puesto de trabajo,

para evitar accesos no autorizados al equipo y a la información

almacenada en el mismo.

El personal que tenga asignado un computador de escritorio y/o

portátiles, serán responsable de su cuidado y protección y se

constituyen en custodios de dichos equipos.

i) Todo computador o dispositivo que requiere de mantenimiento o

actualización de información sólo lo podrá realizar el personal de

Soporte a Usuarios, para evitar que la información se vea

comprometida.

j) La implementación de cualquier solución o herramienta tecnológica en

los computadores de escritorio y/o portátiles no debe afectar la

operatividad y la disponibilidad de los mismos.

k) Todo computador portátil debe mantener colocado su seguro de

protección física cuando se encuentre en uso dentro o fuera de la

empresa, o en donde las condiciones lo permitan.

l) La información almacenada en computadores portátiles, debe estar

encriptada utilizando las herramientas definidas para este efecto.

m) Para trasladar un computador portátil fuera de las instalaciones de la

empresa, el personal responsable de dicho equipo debe notificar de la

salida del bien al personal de seguridad física.

3.1.3.3 Uso Aceptable de Servicios y/o Recursos Tecnológicos.

a) Los servicios y/o recursos tecnológicos que la empresa Coka Tours

asigna al personal es para el cumplimiento de sus funciones, debe ser

utilizado únicamente para este fin.

b) La información transmitida por el personal de la empresa, a través de

los servicios y recursos tecnológicos institucionales, para el

cumplimiento de sus funciones laborales o contractuales, son de

propiedad de esta.

31

c) Los repositorios centrales de almacenamiento de información digital,

serán utilizados exclusivamente para guardar información relacionada

a las funciones que cumplen el personal. El uso y acceso a la

información contenida en estos repositorios centrales de

almacenamiento deben estar restringidos solo al personal autorizado y

aplicando medidas de protección. La administración técnica de los

repositorios centrales de almacenamiento está bajo la responsabilidad

del Departamento de Tecnología.

3.1.3.4 Uso Aceptable del Servicio de Correo Electrónico.

a) Cada persona que ingrese a la empresa se le asignará una cuenta de

Correo Electrónico la misma que es personal e intransferible, por lo

que no está permitido su acceso y/o uso a otras personas, siempre que

esta requiera utilizar un computador de escritorio y/o portátil.

b) La información contenida en los mensajes de datos y archivos adjuntos

recibidos y/o transmitidos a través del Correo Electrónico por parte del

personal que para el cumplimiento de sus funciones laborales o

contractuales, son de propiedad de la empresa Coka Tours.

c) El Servicio de Correo Electrónico debe ser utilizado exclusivamente

para realizar tareas y actividades relacionadas a las funciones

asignadas al personal en los procesos de la empresa y que no

contravengan las disposiciones de la presente política.

d) La empresa Coka Tours guardará los logs de los mensajes entrantes y

salientes depositados en el buzón del Servidor Central del servicio de

Correo Electrónico Institucional, antes de ser descargados al archivo de

correos (PST) de los respectivos usuarios.

e) Cada cuenta de Correo Electrónico debe tener asociada una clave de

acceso o contraseña para acceder al contenido de la misma. El personal

que dispongan, de cuentas de correo electrónico, serán los responsables

de la administración y custodia de dicha contraseña, garantizando la

confidencialidad y privacidad de la misma; así como, de mantener las

32

acciones necesarias para evitar su difusión o conocimiento por parte de

personas no autorizadas.

f) El Servicio de Correo Electrónico Externo se autoriza al personal que

por sus funciones requiera del uso de este servicio.

g) El personal no debe eliminar mensajes de datos recibidos o enviados

que tengan relación con los procesos de la empresa, para lo cual deben

considerar la creación de archivos de carpetas personales de correo

electrónico cuando estos hayan llegado a la capacidad máxima

recomendada técnicamente.

h) El contenido de los mensajes de datos personales transmitidos o

reenviados, a través del servicio de Correo Electrónico, son de

responsabilidad exclusiva del personal quien los remite, en

consecuencia, estos asumirán los efectos legales que pudieren

derivarse de dicha acción, sin perjuicio de las responsabilidades

administrativas a que hubiere lugar.

3.1.3.5 Uso Aceptable del Servicio de Internet.

a) El servicio de Internet que es provisto por la empresa Coka Tours para

el personal, es para realizar tareas y actividades relacionadas a las

funciones asignadas a la empresa dentro de los procesos.

b) Para el servicio de conectividad inalámbrica a Internet provisto por la

empresa, se requiere disponer de un computador portátil que haya sido

asignado por la misma.

c) Se encuentra prohibido utilizar el servicio de Internet para divulgar o

transmitir información de propiedad de la empresa, a terceras personas

u organizaciones no autorizadas.

d) Se prohíbe el acceso a través de conectividad inalámbrica a Internet

con dispositivos que NO son provistos por la empresa (de propiedad

del personal), utilizando además computadores de escritorio y/o

portátiles de la empresa.

e) Está prohibido descargar del Internet e instalar cualquier aplicación o

herramienta informática sin previo conocimiento por parte del

33

departamento de Soporte a Usuarios.

f) Se prohíbe ejecutar o intentar ejecutar cualquier actividad con fines

ilícitos como accesos no autorizados, robo, bloqueo o daño de

información, sobrecarga o deterioro de los servicios informáticos,

redes y sistemas.

3.1.3.6 Restricciones y Prohibiciones.

a) Se prohíbe expresamente lo siguiente:

Usar los recursos físicos y tecnológicos de la empresa para,

almacenar, acceder, transmitir o difundir la siguiente información

y/o material:

o Textos o imágenes pornográficas.

o Que promueva de cualquier forma la explotación sexual,

racismo o violencia.

o Que promueva el uso ilegal de drogas o armas.

o Mensajes discriminatorios con relación a ideología, afiliación

política o sindical, orientación sexual, etnia, estado de salud,

religión, nacionalidad, condición migratoria.

o Con contenido violento.

o Que promueva o posibilite juegos o apuestas.

o Que contenga cualquier tipo de código malicioso (virus,

programas que se auto replican, programas espías, programa de

captura de credenciales, etc.).

o Que intente vulnerar la seguridad de las aplicaciones, servicios

o equipos de propiedad de la empresa Coka Tours.

o Correos masivos, cadenas de correos, spam.

o Relacionado a propaganda comercial, gremial, partidista o

política.

o Que incluya texto difamatorio, ofensivo, intimidatorio o

injurioso contra la honra de las personas.

o Que atente contra los derechos de autor, y no posean licencias.

34

Para el uso de equipos, servicios y recursos tecnológicos

institucionales se prohíbe:

o Instalar software adicional no autorizado.

o Cambiar o intentar cambiar las configuraciones de los equipos

asignados, incluyendo CMOS, BIOS, sistema operativo,

aplicativos y herramientas del computador.

o Abrir físicamente el computador, bajo ningún concepto.

Cualquier actividad técnica deberá ser coordinado con el

personal de Soporte a Usuarios y el Departamento de

Tecnología.

o Está prohibido almacenar, transmitir o reenviar mensajes de

datos, incompatibles con los estándares éticos del personal de la

empresa Coka Tours, y con las normas legales o reglamentarias

aplicables.

o Utilizar el Servicio de Correo Electrónico para divulgar o

transmitir información de propiedad de la empresa, a terceras

personas u organizaciones no autorizadas.

o Transmitir información de la empresa considerada como

sensitiva, a través de mensajes de datos, sin haber aplicado el

procedimiento de entrega de información respectivo o reenvío a

cuentas de correos electrónicos públicos.

o Enviar de forma masiva correos por parte de todas aquellas

personas que no estén explícitamente autorizadas para dicha

actividad. Se consideran como correos masivos aquellos que se

envían a más de 20 cuentas de correo electrónico.

o Acceder al archivo de correo o a una cuenta de Correo

Electrónico que pertenezca a otra persona, sin su autorización

expresa.

o Alterar el contenido de los mensajes de datos que modifiquen la

voluntad, intención u objetivo del remitente original para a su

vez reenviar el mensaje de datos alterado, violentando el

principio de integridad de la información.

35

o Enviar mensajes alterando la dirección electrónica del remitente

para suplantar la identidad, identificarse como una persona

ficticia o no identificarse.

o Intentar vulnerar las seguridades del Servicio de Correo

Electrónico.

o Usar frases o palabras obscenas, peyorativas, ofensivas o

denigrantes en los mensajes de Correo Electrónico.

3.2 Organización de la Seguridad de la Información.

3.2.1 Propósito.

Establecer los lineamientos de actuación y operación del Gerente y del

Comité de Seguridad de la Información, Departamento de Seguridad de la

Información, Departamento de tecnología, Oficial de Seguridad de la

Información que conforman el componente de alineación empresarial

integrado, así como las atribuciones y responsabilidades de cada uno de

los integrantes que los conforman, para que los asuntos tratados en el seno

de estos grupos de decisión, propicien que las distintas instancias internas

de la empresa cumplan su misión y visión, dentro del marco de referencia

que establecen las leyes y disposiciones aplicables de acuerdo al objeto y

naturaleza jurídica de la empresa.

3.2.2 Alcance.

El presente documento contempla la planificación, ejecución, seguimiento

y cierre de los temas a tratarse en el Comité de Seguridad de la

Información, reconocidos como parte del Modelo de Gestión de la

Seguridad de la Información, así como la alineación del funcionamiento

que sirvan como apoyo a los procesos institucionales.



en este documento deben ser complementados o suplidos por las

36



disposiciones de este documento, así como de las leyes y normativa

conexa, debe incurrir en responsabilidad administrativa que será

sancionada disciplinariamente, sin perjuicio de la acción civil o penal

que pudiere originar el mismo hecho.

c) La gerencia debe coordinar y supervisar el cumplimiento de todas las

normas de seguridad de la información.

d) Es responsabilidad por parte de la gerencia designar los integrantes que

conforman el Comité de Seguridad de la Información y ser parte de

este comité.

e) Coordinar su difusión, capacitación de la normativa de seguridad a

todo el personal de la empresa.

f) La Gerencia es el único responsable de comunicar cualquier

inconveniente o evento de seguridad que ocurriera en la empresa, con

el objetivo de no divulgar información de la empresa.

g) El Comité de la Seguridad de la Información debe realizar lo siguiente:

Establecer y actualizar la normativa de seguridad de la información

y coordinar el cumplimiento por parte del personal de la empresa.

Gestionar los riesgos que afecten a todos los activos de la

información frente a las diferentes amenazas existentes.

Supervisar sobre los diferentes incidentes de seguridad que ocurren

en la empresa.

Evaluar la implementación de controles específicos efectuados por

el Departamento de Seguridad de la Información, para lo sistemas

o servicios, estos controles deben estar enfocados a la seguridad de

la información.

Coordinar conjuntamente con la Gerencia la difusión y

proporcionar apoyo a la seguridad de la información en la empresa.

El comité de seguridad de la información es responsable de

coordinar los procesos de gestión de incidentes, continuidad de las

operaciones de los sistemas informáticos utilizados por la empresa,

37

frente a un evento o incidente que pueda suscitarse de manera

imprevista.

El Comité de Seguridad de la información conjuntamente con el

responsable del Departamento de Seguridad de la Información

deben analizar los recursos económicos, tecnológicos y humanos

que se requieran para la gestión de la seguridad de la información.

La Gerencia conjuntamente con el Comité de Seguridad son los

responsables de designar al Oficial de Seguridad de la Información,

el mismo que no debe pertenecer al Departamento de Tecnología;

así también deben designar la contraparte Tecnológica.

Aprobar temas emblemáticos de la empresa, así como reunir

distintos criterios para la solución de aspectos de gestión propios de


Promover iniciativas de nivel estratégico en el ámbito de la

seguridad de la información que permitan innovar la gestión de la

empresa y alcanzar los objetivos estratégicos de la misma.

Actuar como equipo de apoyo en las decisiones de la Gerencia,

coadyuvando en forma directa en los asuntos que requieran de

atención de forma inmediata, debiendo aportar los elementos que

brinden sustento a la toma de decisiones, relacionados a seguridad

de la información.

Dirigir la mejora continua de los procesos y servicios

institucionales, en temas de seguridad de la información.

Establecer las directrices y realizar la priorización, selección y

autorización de la asignación de recursos en proyectos de los

programas de mejoramiento de la gestión de la seguridad de la

información.

Supervisar los resultados de los controles que realiza el

Departamento de Seguridad de la Información en la empresa.

Revisar periódicamente los resultados de los indicadores sobre la

gestión de seguridad de la información

Asegurar que la estrategia definida esté encaminada a la mejora de

38

la calidad de los servicios que otorga la empresa.

Asegurar la continuidad en los procesos y servicios que la empresa

maneja.

Promover el aseguramiento de los recursos tecnológicos acorde con

las estrategias y prioridades de la empresa.

Poner a consideración de la Gerencia las propuestas de

modificación o implementación de nuevas estrategias, previo a la

aprobación y priorización de planes y proyectos de la empresa

sobre la Seguridad de la Información.

h) Es responsabilidad del Departamento de Seguridad de la Información

lo siguiente:

Planificar y Monitorear el Modelo de Gestión de Seguridad de la

Información.

Elaborar las estrategias de mitigación y prevención para la

mitigación de los riesgos de seguridad de la información.

Elaborar y actualizar la información relacionada a Seguridad de la

Información en la empresa.

Monitorear y validar la adecuada implementación sobre los

procesos de seguridad de la información que ejecuta el


Elaborar y ejecutar planes de evaluación de cumplimiento de las

normas, políticas y procedimientos de seguridad de la información.

i) Es responsabilidad del Oficial de Seguridad de la Información lo

siguiente:

Establecer los procesos de control de cambios que se realicen a los

sistemas informáticos u oficinas, y validar el cumplimiento de

dichos procesos, para asegurar de que no afecten la seguridad de la

información.

Definir los estándares de seguridad que deben tener los nuevos

sistemas informáticos o actualizaciones que se realicen, las mismas

que deben contar con pruebas antes de su aplicación.

Establecer los procesos que permitan administrar los medios de

39

almacenamiento y los incidentes de seguridad sobre la

infraestructura tecnológica.

Coordinar los mecanismos de difusión que se utilicen en la

empresa, sea esta en el interior como fuera.

Coordinar la implementación de controles para la detección y

prevención del acceso no autorizado, así como garantizar la

seguridad de la información como de la infraestructura tecnológica,

conjuntamente con el Departamento de Tecnología.

Coordinar con el personal de la empresa para charlas de

concientización sobre temas de seguridad de la información.

Convocar al Comité de Seguridad de la Información y a la

Gerencia para informar el cumplimiento de la normativa de

seguridad, o cuando lo amerite de manera expresa.

Coordinar con Recursos Humanos la firma de los acuerdos de

confidencialidad y de no – divulgación de la información de la

empresa, por parte del persona, así como de su elaboración y

actualización de este documento; el mismo que debe ser

incorporado en los expedientes del personal.

Para el personal externo (ej., contratistas, proveedores, pasantes,

entre otros) y que por necesidad de la empresa y que requieran

realizar trabajos o labores dentro de la misma, se debe gestionar la

aceptación y firma del acuerdo de confidencialidad.

j) El Departamento de Tecnología es responsable de lo indicado a

continuación:

Verificar y evaluar el impacto que ocurra sobre los sistemas

informáticos por motivo de la implementación de normas de

seguridad, además de validar la correcta implementación de estas.

Establecer y administrar los mecanismos tecnológicos que

requieran para la desegregación de los ambientes de

procesamiento, y almacenamiento de la información.

Obtener copias de respaldo de la información que se gestiona en los

sistemas informáticos, así como de realizar las pruebas de

40

restauración.

Verificar las necesidades sobre la capacidad operativa de los

sistemas informáticos que se encuentran en producción, con el

objetivo de soportar potenciales amenazas a la seguridad de estos.

Llevar un registro de las acciones realizadas por el personal de

seguridad sobre cambios, modificaciones, actualizaciones de

seguridad en los equipos informáticos.

Implementar mecanismos de control para evitar la instalación de

software malicioso, accesos no autorizados, etc., los mismos que

deben ser definidos por el Departamento de Seguridad de la

Información y el Oficial de la Seguridad de la Información.

Controlar y definir el proceso para la gestión de medios de

almacenamiento informático, así como la destrucción o eliminación

de forma segura de la información que se encuentra almacenada.

Remediar y gestionar los incidentes de seguridad que se presenten

en la empresa y reportar informes de forma trimestral de estos al

Oficial de Seguridad de la Información.

Verificar si un nuevo servicio tecnológico a implementar cumpla

con los estándares de seguridad de la información indicados por el

Departamento de Seguridad de la Información y el Oficial de

Seguridad de la información, además de evaluar la compatibilidad

con los sistemas informáticos de la empresa.

Llevar un registro con los datos de información sobre los contactos

de contratistas, proveedores, servicios de telecomunicaciones, o de

acceso a Internet, etc., para la gestión de posibles incidentes o

eventos de seguridad que se susciten.

3.3 Gestión de los Activos de la Información.

3.3.1 Propósito.

Normar el registro, gestión y control de los activos fijos y bienes de

propiedad de la empresa Coka Tours.

41

3.3.2 Alcance.

Estandarizar el proceso para el manejo de los activos fijos y bienes el

registro informáticos y documentos en que conste la historia de cada bien,

su destinación y uso; e identificar y designar al personal que recibe el bien

para el desempeño de sus funciones.










c) La Gerencia debe contratar pólizas de seguro de los activos para

protegerlos contra diferentes riesgos que pudieran ocurrir; se

actualizaran periódicamente, a fin de que las coberturas mantengan su

vigencia.

d) El Departamento de Tecnología establecerá una codificación adecuada

que permita una fácil identificación, organización y protección de los

activos. Todos los activos llevarán etiquetas impresas con el código

correspondiente en una parte visible, permitiendo su fácil

identificación.

e) Es responsabilidad del Departamento de Tecnología mantener registros

actualizados, individualizados, numerados, debidamente organizados y

archivados, para que sirvan de base para el control, localización e

identificación de los equipos informáticos, hardware, software y

medios de comunicación.

f) Es responsabilidad de cada Jefatura garantizar el uso adecuado de los

42

activos informáticos, a fin de determina si las condiciones de custodia

son adecuados y no se encuentran en riesgo.

g) El Departamento de Seguridad de la Información debe tener un

inventario de lo siguiente:

Procesos estratégicos y de apoyo para la empresa.

Las normas y reglamentos que son la razón de ser de la empresa.

Los archivos generados por el personal tanto de manera física como

digital, esto dependerá de las funciones que realiza en la empresa.

Archivos del desarrollo, soporte de los nuevos y anteriores sistemas

informáticos.

3.3.3.1 Clasificación de la Información.

a) La empresa Coka Tours es responsable de la protección y custodia de

toda la información de la empresa que corresponda a la información

recibida o producida por el personal, para el cumplimiento de sus

funciones, atención de trámites y transacciones asociadas a su gestión;

la misma podrá estar contenida en documentos, informes, reportes,

bases de datos, archivos temporales o permanentes sean estos físicos o

digitales.

b) La información, documentos y archivos de propiedad de terceros que

ingrese a los distintos sistemas administrativos, aplicaciones

informáticas o servicios tecnológicos de la empresa, estarán bajo

custodia de la empresa Coka Tours y serán sujetos a las normas y

procedimientos de control aplicados.

c) La información considerada como “Información Confidencial” que sea

entregada por parte de la empresa Coka Tours a otras organizaciones,

debe ser aprobado por la Gerencia.

d) La información de la empresa a la cual tenga acceso el personal

externo que preste servicios a la empresa Coka Tours, estará regulada

por los respectivos contratos y acuerdos de confidencialidad que se

suscriban para el efecto.

e) La información que se genera para la gestión de los procesos de la

43

empresa debe sujetarse a las normas internas sobre custodia, archivo y

plazos de retención.

3.3.3.2 Grupos de Información de la Empresa.

a) Se define como Grupo de Información al conjunto de datos o

documentos físicos que tienen características comunes de agrupación,

y que conforman una unidad de información independiente, tales

como: base de datos de declaraciones, expedientes de reclamos,

expedientes de RRHH, etc.

b) La información de empresa que se encuentre en cualquier formato

(físico o digital) será identificada y clasificada por su nivel de

sensibilidad.

3.3.3.3 Niveles y Criterios de Sensibilidad de la Información.

a) La información de la empresa que se recepte o genere dentro de los

procesos de la gestión operativa de las mismas se la considera dentro

de lo siguiente aspecto:

o Información Confidencial.- Para los efectos del presente

documento se considera como confidencial, a la información

sujeta a restricción, con acceso autorizado en base al perfil del

personal. La indicada información tiene relación con la

información que es generada en los procesos administrativos,

financieros, tecnológicos y de control de la empresa Coka

Tours.

o Información No Confidencial.- Son datos, grupos de datos o

información declarada de conocimiento público, la cual se

encuentra expuesta al sujeto pasivo, terceros o puede entregarse

masivamente en formato digital o físico sin restricciones a

cualquier persona o entidad, interna o externa. Por lo general

este tipo de información se difunde al público por diferentes

medios.

44

3.4 Seguridad en Relación a Recursos Humanos.

3.4.1 Propósito.

Establecer las normas para la gestión de la seguridad del personal de la

empresa Coka Tours.

3.4.2 Alcance.

El presente documento es de aplicación para todo el personal de la

empresa Coka Tours.










c) El personal de la empresa Coka Tours debe declarar el entendimiento

y compromiso de las normas del presente documento, a través del

conocimiento y aceptación del acuerdo de Confidencialidad de la

Información, y los mecanismos que se establezcan para la

contratación y selección de personal. De igual manera, el personal

externo autorizado manifiesta su compromiso de cumplimiento de las

normas de seguridad de la información, a través de los respectivos

contratos, convenios, u otros instrumentos que defina la empresa Coka

Tours para este efecto.

d) Es responsabilidad de Recursos Humanos verificar la documentación

presentada por los candidatos, previa contratación, además de

establecer :

Verificar antecedentes de los posibles candidatos a ser

45

empleados, proveedores o contratistas que vayan a tener alguna

relación con la empresa.

Validar que el nuevo personal firme el acuerdo de

confidencialidad y de no – divulgación de la información de la

empresa, antes de cualquier acceso a la información.

Indicar las funciones y responsabilidades a desarrollar

formalmente, por parte del nuevo personal contratado.

Notificar al Oficial de Seguridad de la Información para la

activación de los accesos a los servicios o recursos

tecnológicos, facilitados por la empresa.

e) Las jefaturas deben asignar al personal a su cargo, los perfiles y roles

de acceso a la información que corresponda a través de las aplicaciones

informáticas institucionales, así como los servicios y recursos

tecnológicos necesarios para el cumplimiento de sus funciones y

responsabilidades.

f) Es responsabilidad de las jefaturas concientizar, socializar y capacitar

de forma periódica sobre las normas seguridad de la información que

deben tomar en cuenta en el desarrollo de sus funciones en la empresa,

y de las responsabilidades.

g) La Jefatura en conjunto con Recursos Humanos consideraran las

sanciones que se le aplicará al personal que por algún motivo, cometió

alguna irregularidad o no cumplimiento a las disposiciones emitidas en

el presente documento, el mismo que debe considerar la gravedad del

evento así como el impacto al negocio.

h) Al término de la relación laboral de un servidor, la respectiva Jefatura

debe asegurar la entrega y recepción de la información de la empresa a

cargo del personal saliente, y debe mantenerla bajo su custodia hasta

que concluyan los plazos de retención respectivos. Se debe confirmar

la devolución de los activos de la empresa, incluida la información

física o digital, el retiro de los derechos de acceso a los sistemas

informáticos, servicios y recursos tecnológicos.

46

i) El Departamento de Seguridad de la Información conjuntamente con

cada la Jefatura son responsables de la seguridad de la información

física o digital, y deben promover procesos de comunicación y

concienciación al personal de la empresa Coka Tours, respecto a los

riesgos, responsabilidad y compromiso en el cuidado de la información

de la empresa.

j) El personal que por motivo de desvinculación de la empresa Coka

Tours está en la obligación de este trasmitir toda la información y el

conocimiento sobre su cargo al nuevo personal o a su jefatura

inmediata.

3.5 Gestión de Comunicaciones y Operaciones.

3.5.1 Propósito.

Establecer las normas que regulen la Gestión de las Comunicaciones y

Operaciones, con el propósito de proteger la Información almacenada en

los computadores dentro de la infraestructura tecnológica de la empresa

Coka Tours, y minimizar la exposición ante las amenazas.

3.5.2 Alcance.

El cumplimiento de las normas de este documento es obligatorio para todo

el personal de la empresa Coka Tours.






disposiciones de este documento, así como las leyes y normativa



47


c) El Departamento de Tecnología debe implementar los mecanismos y

controles necesarios para garantizar la disponibilidad de los servicios y

recursos tecnológicos que posee la empresa.

d) Es responsabilidad del Departamento de Tecnología el respaldo de la

información que la jefatura inmediata considere pertinente en un

período no mayor a 180 días y su restauración de la información y los

sistemas que manejan la empresa.

e) La elaboración de los instructivos para el manejo de errores,

inconvenientes o problemas que pueden presentarse en la

infraestructura tecnológica de la empresa, así también como el reinicio

y recuperación de los sistemas informáticos en caso de fallas es de

responsabilidad del Departamento de Tecnología.

3.5.3.1 Gestión de Comunicaciones.

a) El Departamento de Tecnología debe configurar los sistemas de

comunicación para la conexión a la red y autenticación de los usuarios,

así como la implementación de Firewalls.

b) Los dispositivos utilizados para las comunicaciones deben contar con

las configuraciones de seguridad definidas por el Departamento de


c) El personal que por sus funciones requiera de conexión a la

infraestructura tecnológica de la empresa desde fuera de ella, el

departamento de tecnología debe configurar los equipos de

comunicación para que guarden registro de todos los accesos que

realizaron los usuarios como: Identificación del Usuario (ID); Archivos

que tuvo acceso; sistemas informáticos utilizados.

d) El departamento de Seguridad de la Información es quien validará que

la información que se encuentra disponible al público sea la correcta.

3.5.3.2 Gestión de Operaciones.

a) Cuando se realicen cambios en los sistemas informáticos el

48

Departamento de Tecnología debe llevar un registro de estos, además

de planificar, evaluar y probar el funcionamiento de dichos cambios.

b) El Departamento de Tecnología debe realizar un respaldo de los

sistemas que se encuentren funcionando en Producción antes de

realizar cualquier cambio en esté; el respaldo de la información se lo

mantendrá hasta 180 días después por el caso que se requiera revertir el

cambio en los sistemas informáticos.

c) La responsabilidad del Departamento de Tecnología es de definir los

ambientes de Producción, pre-producción, desarrollo, QA/testing con

sus respectivos directorios versión y de limitar su acceso a dichos

ambientes.

d) El Departamento de Tecnología es el responsable de habilitar los

accesos en el Firewall para los ambientes de producción y bases de

datos de pre-producción, desarrollo, QA/Testing, y equipos servidores

de pre-producción y producción.

e) El Departamento de Seguridad de la Información es el encargado de

autorizar la creación y renovación para la habilitación de certificados

digitales solicitados por personal, así como de los accesos al Firewall.

f) Todos los permisos autorizados e implementados en los firewalls de la

empresa, están sujetos a monitoreo y control por parte del

Departamento de Seguridad de la Información.

g) El Departamento de Tecnología es responsable de realizar la

depuración permanente de los accesos habilitados en el firewall y

certificados digitales.

f) El Departamento de Tecnología debe implementar controles de

detección, prevención y recuperación para proteger la plataforma

tecnológica contra código malicioso, así como de mantener

actualizado los sistemas de software que utiliza la empresa.

g) El control sobre el uso de herramientas de desarrollo de software y/o

acceso a las bases de datos y redes en los equipos informáticos se

prohíbe para el personal, solo el personal de Soporte a Usuarios previa

autorización podrá hacer uso de este tipo de herramientas.

49

h) El Departamento de Seguridad de la Información es el responsable de

elaborar y actualizar un inventario de software autorizado, para la

instalación en los computadores de escritorio y/o portátiles de la

empresa.

i) El Departamento de Tecnología debe realizar una proyección anual

sobre los requerimientos de capacidad de los recursos tecnológicos así

como del desempeño de los servicios y sistemas informáticos.

3.5.3.3 Respaldos y Recuperación de la Información.

a) La información almacenada en los computadores de escritorio y/o

portátiles es considerada como información de la empresa, razón por lo

cual se deben implementar los mecanismos de seguridad para proteger

su integridad y confidencialidad.

b) Se generarán dos tipos de respaldo para los equipos de escritorio y/o

computadores portátiles :

1. Respaldo Automático: Se ejecuta bajo una frecuencia

preestablecida, y es almacenado en equipos servidores

centralizados administrados. La información respaldada debe estar

debidamente identificada y encriptada.

2. Respaldo bajo demanda: Se ejecuta siempre que exista una

solicitud específica por parte del personal y corresponde a

información almacenada en computadores de escritorio y/o

portátiles.

c) Los repositorios centrales de almacenamiento de información, deben

ser utilizados exclusivamente para guardar información relacionada a

las funciones que cumplen el personal.

d) El uso y acceso a la información contenida en los repositorios centrales

de almacenamiento, deben estar restringidos para personal no

autorizado y aplicar medidas de protección que corresponda.

e) Para compartir la información de la empresa que se encuentre

almacenada en los repositorios centrales, se debe aplicar el principio

de “menor privilegio”, el cual determina que todos los usuarios

50

autorizados deben tener asignados la cantidad mínima de privilegios y

permisos a la información, y que permita el desarrollo normal de sus

funciones.

f) Se establecen dos formas de recuperación de la información que se

ejecutan a través de las tareas de respaldos automáticos:

Recuperación Parcial: recuperación a nivel granular de

archivos y/o carpetas.

Recuperación Total: recuperación de toda la información

almacenada en el computador de escritorio y/o portátil

g) Es responsabilidad del Departamento de Tecnología respaldar la

información de los computadores de escritorio y/o portátiles requeridos

de acuerdo a sus necesidades, cuando la Jefatura lo solicite.

3.6 Control de Accesos.

3.6.1 Propósito.

Regular el proceso de administración y control de accesos lógicos para

usuarios finales, alineado a las mejores prácticas de seguridad de la

información, a fin de mitigar los riesgos de accesos y uso indebido de los

mismos.

3.6.2 Alcance.

El presente documento contempla los procedimientos que forman parte del

proceso de administración y control de accesos lógicos para usuarios

finales de la empresa Coka Tours.





51






c) Para los accesos a la red de datos y a la infraestructura tecnológica de

la empresa Coka Tours, se debe establecer mecanismos de

autenticación que garanticen la identificación del personal de la y/o

personal externo debidamente autorizado, al igual que de los

computadores de escritorio y/o portátiles y equipos periféricos de la

infraestructura tecnológica de la empresa.

d) El control de accesos lógicos se basara en la creación de usuarios

específicos y únicos asignados a los funcionarios que requieran acceso

a los sistemas informáticos, así como a la infraestructura tecnológica.

e) Para los casos que de no cumplir con lo indicado en el ítem anterior, se

creará cuentas genéricas; las mismas que deben estar asignado a un

personal responsable.

f) El uso de contraseñas, cuentas individuales y/o genéricas es

intransferible; para el caso de cuentas genéricas estas deben ser

asignadas y registradas a una persona de la empresa responsable de la

misma.

g) Cuando un usuario finalice su relación laboral y/o contractual con la

empresa, el Departamento de Tecnología debe proceder a la

deshabilitación inmediata y definitiva del usuario de red, aplicaciones

informáticas, servicios y recursos tecnológicos, así como la revocatoria

de los respectivos perfiles, roles, y privilegios que tenía autorizado.

3.6.3.1 Control del Acceso a la Información de la Empresa.

a) El acceso a la información de la empresa que tenga el personal externo

que preste servicios a la empresa Coka Tours, debe estar regulada por

los respectivos contratos y acuerdos de confidencialidad que se

suscriban para el efecto.

52

b) El acceso a la información de la empresa debe ser en base a perfiles,

roles, y privilegios en los aplicativos informáticos, definidos en

relación directa con las funciones que los empleados de la empresa

deba cumplir en la gestión de los procesos.

c) El acceso a la infraestructura de red y seguridad informática

institucional está autorizado a los administradores tecnológicos

respectivos con fines de administración.

d) Se debe controlar los accesos locales y/o remotos de todos los usuarios

a la infraestructura tecnológica de la empresa Coka Tours, por parte de

los empleados o personal externo, a través de mecanismos de

autorización y autenticación que deben ser definidos y administrados

por el Departamento de Tecnología.

e) Es responsabilidad del personal de la empresa Coka Tours y del

personal externo que tenga autorizado el acceso a la red de datos y a la

infraestructura tecnológica, el uso legal y ético de la información de la

empresa y de los recursos tecnológicos asociados.

f) La conexión hacia la red de datos y a la infraestructura tecnológica de

la empresa Coka Tours, de computadores de escritorio y/o portátiles

que no pertenecen a la empresa, debe contar previamente con la

respectiva autorización de la Jefatura que corresponda y las

definiciones y requerimientos necesarios se encuentran de acuerdo al

procedimiento conforme la normativa vigente.

g) La gestión de cuentas de administración local de los computadores de

escritorio y/o portátiles asignados a los usuarios finales, debe estar a

cargo del Departamento de Tecnología, y serán utilizadas únicamente

para brindar soporte en sitio por parte del personal técnico autorizado.

3.6.3.2 Contraseñas de Acceso a la Información de la Empresa.

a) Toda contraseña correspondiente a cuentas de usuario final es personal

e intransferible, por lo cual la misma no debe compartirse por ningún

motivo, aún si es requerida por sus jefes inmediatos, Personal de

Soporte, o terceros.

53

b) Las contraseñas de usuarios genéricos que permiten la administración

y operación de la infraestructura tecnológica de la Institución debe ser

cambiada cada 180 días calendario.

c) El Departamento de Tecnología debe configura que los sistemas

informáticos limiten el número de intentos fallidos al ingresar una

contraseña, sea de 3 intentos, luego de lo cual se bloqueará la cuenta

de usuario.

d) Aquellas cuentas específicas que se utilizan para levantar e iniciar

servicios informáticos para aplicaciones, base de datos, interfaces,

sistemas operativos e infraestructura, deben ser configuradas de tal

manera que en lo posible no permitan el inicio de sesión.

e) Los criterios de configuración, generación, custodia y actualización de

contraseñas de usuarios finales o con altos privilegios, deben

considerar lo establecido en el procedimiento de acuerdo a la

normativa vigente.

f) Para generar contraseñas seguras para las cuentas de usuario final,

éstas deberán cumplir los siguientes parámetros:

o Tener una longitud mínima de 8 caracteres.

o Contener Mayúsculas y Minúsculas. (Siempre que el

sistema lo permita y pueda validar).

o Contener números y caracteres especiales (ej: “#*?).

o La contraseña no debe ser una palabra conocida fácil de

descifrar, como nombres, lugares, placas de autos, números

de teléfonos, fechas de nacimiento, etc.

g) Los sistemas informáticos se configurarán de manera que los usuarios

finales, al cambiar de contraseña, no puedan utilizar ninguna de las 3

contraseñas anteriores ingresadas.

h) El uso de las cuentas con altos privilegios tales como root, sys, system,

etc; o cuentas genéricas de esquemas de bases de datos, no deberá ser

utilizadas para las tareas de administración o monitoreo diario,

únicamente deben ser utilizados en casos excepcionales o emergentes,

y con un mecanismo de control de uso de las mismas, el cual debe ser

54

implementado por el Departamento de Tecnología.

Se considera como casos excepcionales a:

o Pasos a producción de nueva funcionalidad sobre esquemas.

o En los casos en los que el fabricante así lo disponga.

o El dispositivo no permita configurar otras cuentas de

administrador.

o Cambios requeridos para solucionar incidentes sobre la

plataforma tecnológica y que no sea posible resolverlo con las

cuentas específicas asignadas.

i) Las contraseñas de las cuentas especiales de administración de

recursos tecnológicos, serán generadas por el Departamento de

Seguridad de la Información, y custodiadas por el Departamento de

Tecnología.

j) La estructura de las contraseñas relacionadas a cuentas especiales de

administración deberá seguir las siguientes reglas:

La contraseña deberá tener una longitud mínima de 10 caracteres, o

del máximo permitido por el dispositivo tecnológico.

Los caracteres que componen la contraseña deben contener

mayúsculas, minúsculas, números y símbolos (Siempre que el

sistema lo permita).

El número máximo de intentos fallidos al ingresar una contraseña

será de 5 intentos, luego de lo cual se bloqueará la cuenta.

3.6.3.3 Usuarios Finales.

a) La cuenta de usuario final para sistemas informáticos, acceso a la red y

correo electrónico debe estar asignado a un único usuario.

b) Es responsabilidad de la jefatura solicitar la habilitación de los roles,

perfiles y privilegios a los sistemas informáticos para el personal a su

cargo de acuerdo a las funciones que desempeña en la empresa.

c) El personal podrá realizar el cambio de su contraseña cuando lo desee

o tenga sospechas de que la contraseña es conocida por otra persona,

los sistemas informáticos deben controlar automáticamente el cambio

55

de la contraseña cada 90 días.

d) Al tercer intento consecutivo de ingreso erróneo el sistema

automáticamente bloqueará el usuario respectivo. El acceso se

habilitará nuevamente una vez que el usuario notifique al

Departamento de Tecnología a través de un correo electrónico y al


e) En el caso de que se requiera obtener información del computador de

escritorio y/o portátiles, de un funcionario que se encuentre ausente de

forma temporal o definitiva, únicamente podrá ser solicitado por el jefe

al personal de Soporte a Usuarios.

3.6.3.4 Usuarios Tecnológicos.

a) Las tareas de administración y gestión de los componentes de la

plataforma tecnológica es responsabilidad exclusiva del personal del


b) Para la asignación de accesos, permisos, derechos, o privilegios, dentro

de los sistemas informáticos, bases de datos, servicios y/o recursos

tecnológicos, componentes de la plataforma/infraestructura

tecnológica, se debe aplicar el principio del menor privilegio.

c) La administración de los componentes de la plataforma tecnológica es

responsabilidad exclusiva del personal técnico perteneciente al

Departamento de Tecnología. Toda actividad de administración o

monitoreo de los diferentes componentes de la infraestructura

tecnológica deberá ser realizada utilizando las cuentas de usuario

individual (no genérica) asignadas a cada administrador de la

plataforma tecnológica. En aquellos casos que técnicamente se

requiera una cuenta genérica para administrar un recurso de la

infraestructura tecnológica, se lo puede efectuar siempre que se

identifique administrativamente al responsable de la misma.

d) Las Base de Datos, sistema informático, deben registrar Logs de

auditoría de acceso, lo que permitirá la verificación del historial de

accesos por un usuario.

56

3.7 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

3.7.1 Propósito.

Establecer las normas de seguridad para el proceso de adquisición,

desarrollo y mantenimiento de los sistemas de información.

3.7.2 Alcance.

El presente documento es de aplicación obligatoria para toda la empresa

Coka Tours.










c) En el desarrollo, mantenimiento y adquisición de aplicaciones

informáticas, se debe implementar controles y acciones que garanticen

la disponibilidad de los sistemas y aplicativos informáticos

institucionales, misma que debe ser elaborado por el Departamento de


d) La ejecución de las fases del desarrollo de un aplicativo informático

debe cumplir con la normativa de seguridad, a fin de garantizar la

seguridad de la información y confiabilidad de su procesamiento.

e) El Departamento de Tecnología debe establecer los lineamientos para

el desarrollo interno de aplicaciones informáticas o desarrolladas por

proveedores externos.

f) Periódicamente se deben ejecutar evaluaciones de cumplimiento de las

medidas y controles de seguridad en las aplicaciones informáticas. En

57

caso de encontrar vulnerabilidades en las aplicaciones informáticas, las

mismas serán corregidas y se debe implementar los controles

correspondientes por parte del Departamento de Tecnología.

g) El Departamento de Tecnología debe llevar y actualizar el inventario

de las aplicaciones de software licenciado, software o herramientas de

uso libre, demos, software con licencias temporales, que sean

utilizadas en la empresa Coka Tours.

h) El repositorio de software debe contener los instaladores del software

autorizado para ser utilizado como único mecanismo, para la

instalación de software adicional en los computadores de escritorio y/o

portátiles, actividad que está a cargo del personal de Soporte a

Usuarios.

i) La instalación de cualquier software adicional, sea éste licenciado o de

uso libre, en los computadores de escritorio y/o portátiles, y en equipos

servidores, está autorizado para el personal que lo requieran para la

ejecución de sus tareas en la empresa, una vez que se encuentre

autorizado por el Departamento de Seguridad de la Información.

j) Para el desarrollo de soluciones informáticas deben considerar los

siguientes aspectos mínimos de seguridad :

Administración de Accesos a través de usuarios y contraseñas.

Implementación de pistas de auditoría con sus respectivos

reportes y consultas.

Rutinas de validación para el ingreso de información.

Diseñar y documentar la solución informática y sus bases de

datos (diccionario de datos).

3.8 Gestión de Incidentes de Seguridad de Información.

3.8.1 Propósito.

Establecer los lineamientos generales para la gestión efectiva de Incidentes

de Seguridad que afecten a la Institución y al cumplimiento de su misión y

objetivos, con el fin de prevenirlos y responder de forma adecuada y

oportuna cuando estos ocurran.

58

3.8.2 Alcance.

El presente documento cubre aspectos de prevención, detección, análisis,

priorización y respuesta de incidentes de seguridad a nivel nacional, e

incluye las siguientes categorías de incidentes:

Tecnologías de la Información y Comunicación.


Seguridad física, bienes, y personas.










c) Se define como incidente de seguridad, a un evento, situación, o hecho

que afecta significativamente a la imagen, misión, objetivos

institucionales, información (confidencialidad, integridad,

disponibilidad), servicios, procesos, bienes, sistemas o recursos

(humanos, tecnológicos, financieros) y que requiere una acción o una

respuesta efectiva para su mitigación.

d) El Departamento de Seguridad de la Información es el responsable de

la coordinación monitoreo, control, evaluación, supervisión,

retroalimentación y comunicación de incidentes de seguridad a nivel

nacional, cuyas responsabilidades son las siguientes:

Realizar análisis y emitir recomendaciones sobre las medidas que

deben tomarse en el caso de un incidente de seguridad.

Supervisar y controlar la gestión de las unidades administrativas

responsables de la gestión de cada categoría de incidentes de

seguridad.

59

Coordinar el registro histórico centralizado de los incidentes a nivel

nacional elaborados por las unidades administrativas responsables

de la gestión de cada categoría de incidentes de seguridad.

Elaborar análisis de tendencias de los incidentes de seguridad.

Solicitar la implementación de medidas preventivas y correctivas

posteriores a los incidentes de seguridad suscitados.

Evaluar las medidas de remediación implementadas.

Realizar un informe anual de la coordinación y monitoreo de

incidentes de seguridad a nivel nacional.

Publicar y actualizar periódicamente los datos de contacto de los


seguridad de las unidades administrativas a quienes se debe acudir

en caso de evidenciarse un incidente.

e) Las unidades administrativas responsables de la gestión de cada

categoría de incidentes de seguridad, gestionan y ejecutan las

actividades que se deben realizar como respuesta a los incidentes de

seguridad, y sus responsabilidades son las siguientes:

Responder de acuerdo a los procedimientos específicos de cada

ámbito.

Informar y remitir la lista de incidentes gestionados, así como los

datos de contacto al Departamento de Seguridad de la Información.

De acuerdo a los incidentes que gestione, dispondrá de los datos de

contacto de los entes internos y externos, según corresponda, que

deban apoyar en la gestión de los incidentes reportados, de acuerdo

a la naturaleza de los mismos.

f) Las unidades administrativas responsables de la gestión de cada

categoría de incidentes de seguridad deben garantizar que en cada una

de las Jefaturas, existan personal designado para responder a los

incidentes de seguridad de acuerdo a la naturaleza de los mismos.

g) La unidad administrativa responsable de la gestión de cada categoría

de incidentes de seguridad será la responsable de elaborar los

procedimientos específicos para la gestión de incidentes de seguridad.

60

h) La Gerencia debe elaborar y ejecutar un plan de capacitación a las

unidades administrativas responsables de la gestión de cada categoría

de incidentes de seguridad que debe ser coordinado con el


i) Las unidades administrativas de la empresa Coka Tours deben realizar

actividades preventivas, e implementar medidas de mitigación y

controles, las cuales están basadas en los resultados de evaluaciones de

riesgos dentro de cada ámbito, con el propósito de disminuir el número

de incidentes, y determinar la respuesta apropiada.

j) El personal de la empresa como el personal externo, podrán alertar

sobre un posible incidente de seguridad, y deben informar los

incidentes de seguridad suscitados a las unidades administrativas


seguridad.

k) Durante el manejo de incidentes y en el caso de requerirse

comunicación interna o externa, la Gerencia es el principal responsable

para impartir información relacionada con los incidentes de seguridad.

l) El personal de la empresa deben reportar a las Unidades

Administrativas responsables de la gestión de cada categoría de

incidentes de seguridad, los incidentes que se detecten en su momento.

m) Las Unidades Administrativas responsables de la gestión de cada

categoría de incidentes de seguridad, deben estar capacitadas y contar

con las herramientas y recursos necesarios, a fin de estar preparados

para responder de manera oportuna y efectiva ante incidentes de

seguridad.

n) La gestión de incidentes de seguridad por parte de las Unidades


incidentes de seguridad, debe realizarse en base a los procedimientos

establecidos por cada unidad.

o) Las Unidades Administrativas responsables de la gestión de cada

categoría de incidentes de seguridad, deben preservar las evidencias

durante el proceso de respuesta a incidentes, dependiendo de la

61

categoría del mismo, a fin de realizar un análisis post-incidente y

reevaluar los riesgos.

p) Las Unidades Administrativas responsables de la gestión de cada

categoría de incidentes de seguridad, deben elaborar un informe anual

sobre los incidentes gestionados; este informe debe ser remitido al


q) En el caso de que las Unidades Administrativas responsables de la

gestión de cada categoría de incidentes de seguridad, no puedan

responder directamente ante un incidente de seguridad, estas deberán

escalarlo a la Gerencia.

3.8.3.1 Preparación para la Gestión de Incidentes de Seguridad.

Se requiere contar con información de contacto de las Unidades


incidentes de seguridad, de entidades externas, proveedores,

herramientas y recursos disponibles para el manejo de incidentes de

seguridad.

Las Unidades Administrativas responsables de la gestión de cada

categoría de incidentes de seguridad, deben estar capacitadas y

entrenadas para la gestión de incidentes de seguridad y deben contar con

mecanismos de comunicación, coordinación y almacenamiento seguro

para el resguardo de evidencias y otros materiales sensitivos de acuerdo a

la categoría del incidente de seguridad.


categoría de incidentes de seguridad deberán implementar mecanismos

que permitan a los servidores reportar incidentes de seguridad, así como

aspectos de capacitación, concientización, educación, protocolos,

simulacros, etc.

3.8.3.2 Detección.


62

categoría de incidentes de seguridad deberán implementar mecanismos

tales como herramientas, dispositivos, alertas, alarmas, hardware,

software o sistemas, con el propósito de detectar posibles incidentes de

seguridad que se encuentren en progreso o en ejecución.

3.8.3.3 Análisis.


categoría de incidentes de seguridad deberán realizar un análisis inicial

que permita identificar la categoría de incidente de seguridad; luego de

esto se determinará el alcance del mismo, y dependiendo de la severidad

del incidente, se procederá siguiendo los procedimientos definidos por

cada Unidad Administrativa.

Igualmente dependiendo de la categoría de incidentes, se deberá realizar

un análisis más profundo y documentar cada acción ejecutada.

3.8.3.4 Valoración y Priorización de los Incidentes.

El establecimiento del nivel de severidad de los incidentes de seguridad,

por parte de las Unidades Administrativas responsables de la gestión de

cada categoría de incidentes, se realizará dependiendo de su impacto y

urgencia, y se determina un nivel de prioridad al incidente de seguridad,

de acuerdo a lo siguiente:

Severidad 1 => Crítica: Son todos los incidentes de seguridad que

requieren una atención inmediata y solución adecuada y oportuna.

Severidad 2 => Alta: Son todos los incidentes de seguridad de primer

grado cuyo impacto y urgencia tienen que ser altos respectivamente.

63

Tabla. 3.1. Determinación del Grado de Criticidad de un Incidente.

Realizado por: FREIRE F., 14-diciembre-2013

Una vez que se ha establecido la severidad del incidente de seguridad se

deberán asignar los recursos necesarios de cada una de las Unidades

Administrativas a las que corresponda dar atención al incidente.


categoría de incidentes de seguridad, pueden considerar más niveles de

menor severidad, de acuerdo a sus requerimientos.

3.8.3.5 Erradicación y Recuperación.

Son el conjunto de acciones que permiten anular los efectos o progreso

de los incidentes de seguridad con el propósito de restaurar los sistemas o

el normal funcionamiento del trabajo de los empleados de la empresa

“Coka Tours” y por lo tanto, pueden retomar sus actividades normales en

el menor tiempo posible.

En esta fase, las Unidades Administrativas responsables de la gestión de

cada categoría de incidentes de seguridad, deben garantizar un manejo

adecuado y resguardo de las evidencias obtenidas en este proceso.

3.8.3.6 Actividades Post – Incidentes.

Para el correcto seguimiento de las actividades post–incidente es

indispensable realizar análisis que permita evaluar el funcionamiento del

servicio. Algunos de los aspectos clave a considerar son:

64

Confirmar con los usuarios la solución satisfactoria del incidente.

Incorporar el proceso de resolución del incidente a la base de

conocimiento.

Clasificar el incidente si fuera necesario.

Analizar tendencias y estadísticas de incidentes manejados.

Retroalimentar al proceso de Gestión de Riesgos.

Documentar las actividades realizadas en la gestión del incidente.

Cerrar el incidente.

3.8.3.7 Coordinación y Compartición de Información.

Los conocimientos adquiridos durante la gestión de cada incidente de

seguridad deberán ser documentados y compartidos al Departamento de

Seguridad de la Información, mediante actividades como elaboración y

presentación de informes, realización de talleres o seminarios.

A partir de estas dos instancias, “lecciones aprendidas” y “talleres o

seminarios”, surgirá información y conocimiento que servirá para que,

tanto el Departamento de Seguridad de la Información, así como las

Unidades Administrativas responsables de la gestión de cada categoría de

incidentes de seguridad, estén mejor preparadas para enfrentar

situaciones futuras similares, y puedan disponer de información

estadística, que puede ser utilizada para realizar proyecciones futuras

sobre asignación de recursos y costos asociados al servicio.

Se deberá generar una Base de Conocimiento que permita comparar

nuevos incidentes con incidentes ya registrados y resueltos, para lo cual

se requiere conocer:

Número de incidentes clasificados por severidad.

Tiempos de resolución clasificados por severidad.

Costos asociados (de ser posible determinar).

Uso de los recursos utilizados.

Porcentaje de incidentes, clasificados por severidad, resueltos en

primera instancia por las Unidades Administrativas responsables de

65

la gestión de cada categoría de incidentes de seguridad.

Es importante la coordinación entre las Unidades Administrativas

responsables de la gestión de cada categoría de incidentes de seguridad y

el Departamento de Seguridad de la Información, de tal manera que

permita:

Analizar los riesgos asociados al incidente, a fin de establecer

medidas corporativas para mitigarlos a futuro;

Establecer conjuntamente protocolos de respuesta a nuevos

incidentes y hacerlos extensivos a toda la Institución;

Evaluar la capacidad de respuesta en relación al nivel de severidad

del incidente y procurar mejorar tiempos y recursos para futuros

incidentes;

Consolidar las estadísticas en la gestión de incidentes, para

considerarlas en la revaloración de riesgos institucionales.

Figura 3.1 Ciclo de vida de respuesta a incidentes de seguridad.

Fuente: NIST: National Institute of Standards and Technology, Special Publication 800-

61 Revision 2.

66

3.9 Gestión de Continuidad Institucional.

3.9.1 Propósito.

Establecer los lineamientos generales para contrarrestar las interrupciones

que puedan ocurrir por un incidente o evento (sean éstas resultado de

desastres naturales, accidentes, fallas en el equipamiento, acciones

deliberadas u otros hechos) en el desarrollo normal de las actividades de la

empresa “Coka Tours” con el objetivo de proteger sus procesos críticos y

asegurar la recuperación oportuna mediante la ejecución de planes

preventivos y de recuperación de tal manera que permita la restauración de

las operaciones críticas en el menor tiempo posible y se reduzca el

impacto.

3.9.2 Alcance.

El presente documento es de aplicación obligatoria y cubre la continuidad

del negocio esta orienta a definir las responsabilidades para la gestión de la

continuidad de los procesos críticos de la empresa, y comprende: la

elaboración, pruebas y mantenimiento del Plan Empresarial de

Continuidad, el mismo que se comprende de los siguientes planes:

Plan de Recuperación de Desastres.

Plan de Continuidad de las Operaciones.

Plan de Comunicación de Crisis.

Plan de Respuesta de Emergencias.





b) Se define como Plan Empresarial de Continuidad, al conjunto de

planes de contingencia que permitan a la Empresa recuperarse ante

posibles escenarios de crisis o desastres, gestionando la continuidad de

67

las operaciones y servicios críticos.

c) El Departamento de Seguridad de la Información, conjuntamente con

la Gerencia una vez que conozca el respectivo Análisis de Impacto y

los riesgos con mayor probabilidad de ocurrencia, dispondrá el

desarrollo de los respectivos planes de continuidad.

d) El Gerencia es el encargado de aprobar y tomar decisiones para cada

uno de los planes de continuidad.

e) Paras el desarrollo de los planes de continuidad de las operaciones se

aplicará la metodología de gestión de proyectos, debiendo el

responsable designado por el Gerencia, proponer y gestionar la

presentación de la respectiva iniciativa en la Oficina de Proyectos.

f) El Plan Empresarial de Continuidad está conformado por los siguientes

planes:

PLAN DESCRIPCIÓN DEL PLAN RESPONSABLES

Plan

Empresarial de

Continuidad

Institucional

Proporciona las acciones para el

mantenimiento de las operaciones

de la misión institucional mientras

se recupera de una interrupción

significativa.

Gerencia /

Departamento de

Seguridad de la

Información.

Plan de

Recuperación

de Desastres

Proporciona las acciones para

recuperar la continuidad de las

operaciones críticas de la

Institución dentro del tiempo

máximo de tolerancia.

Oficina de

Proyectos /

Departamento de

Tecnología

Plan de

Continuidad de

las Operaciones

Proporciona las acciones de

recuperación de todos los procesos

institucionales considerados no

críticos, para restablecer la

operación normal de la

organización.

Departamento de

Seguridad de la

Información /

Departamento de

Tecnología

68

Plan de

Comunicación

de Crisis

Proporciona las acciones para la

comunicación, tanto interna como

externa, del estado de crisis y sus

medidas de recuperación.

Gerencia /

Departamento de

Seguridad de la

Información

Plan de

Respuesta de

Emergencias.

Proporciona las acciones para

reducir al mínimo el riesgo de

pérdidas humanas e infraestructura

física

Gerencia.

Tabla. 3.2. Responsables de los Planes Empresariales

Realizado por: FREIRE F., 21-diciembre-2013

g) El Departamento de Seguridad de la Información, en coordinación con la

Gerencia y el Departamento de Tecnología, serán los responsables de

la elaboración del Análisis de Impacto de las Operaciones Críticas de

la Empresa (BIA).

h) El Departamento de Seguridad de la Información, es el responsable de

elaborar y mantener actualizado el Plan Empresarial de Continuidad,

para lo cual la Gerencia facilitará los recursos necesarios.

i) Las diferentes Unidades Administrativas que participan en la Gestión

de la Continuidad Institucional deben gestionar los riesgos asociados a

sus procesos críticos de manera preventiva de acuerdo a lo establecido

en la Gestión de Riesgos de la empresa y además asegurar que los

procesos a su cargo sean recuperados en el tiempo planificado,

brindando la disponibilidad de los servicios críticos definidos en los

Planes de Continuidad, para lo cual debe cumplir lo siguiente:

Identificar las amenazas que puedan ocasionar interrupciones de los

procesos y/o las actividades de la empresa.

Evaluar los riesgos para determinar el impacto de dichas

interrupciones.

Identificar que controles preventivos se pueden realizar.

Desarrollar un plan estratégico para determinar el enfoque global

con el que se abordará la continuidad de las actividades de la

69

empresa.

Elaborar los planes de contingencia necesarios para garantizar la

continuidad de los proceso de la empresa.

j) Las Unidades Administrativas revisarán periódicamente los planes

bajo su administración, como así también identificar cambios en los

proceso de la empresa y que reflejen en los planes de continuidad.

k) Las Unidades Administrativas responsables de cada plan de

continuidad verificarán y validarán el cumplimiento de los

procedimientos implementados para llevar a cabo las acciones

contempladas en cada plan de continuidad.

l) El Departamento de Seguridad de la Información debe analizar las

consecuencias de la interrupción del servicio y tomar las medidas

correspondientes para la prevención de hechos similares.

m) Los Planes de Continuidad deben contener lo siguiente:

Notificación /Activación: en esta fase se define la detección

como el de determinar si se debe proceder con la activación del

plan.

Reanudación: en esta fase de forma temporal se debe restaurar

las funciones normales y proceder con la recuperación del daño

producido.

Recuperación: en esta fase es la restauración de los proceso

para el funcionamiento normal.

n) EL Departamento de Seguridad de la Información debe coordinar con

el personal de la empresa y las entidades externas en las estrategias de

planificación de contingencias de ser el caso.

o) El Departamento de Seguridad de la Información es el responsable de

coordinar de la operatividad del Plan Empresarial de Continuidad de la

empresa frente a las interrupciones imprevistas, para lo que debe

realizar las siguientes funciones:

Identificar y priorizar los procesos críticos de las actividades que

realiza la empresa.

Asegurar que todos los empleados de la empresa comprendan los

70

riesgos que la misma enfrenta, en términos de probabilidad de

ocurrencia e impacto de posibles amenazas, así como los efectos

que una interrupción puede tener en las actividades de la empresa.

Elaborar y documentar una estrategia de continuidad de los

procesos de la empresa y esta debe estar consecuente con los

objetivos y prioridades acordados.

Proponer planes de continuidad en los procesos que se consideren

como críticos en la empresa.

Establecer un cronograma de pruebas periódicas de cada uno de los

planes de contingencia.

Coordinar actualizaciones periódicas de los planes de continuidad

en relación a los cambios o nuevos procesos implementados.

Figura 3.2 Gestión de la Continuidad.

Fuente: ITIL- Gestión de Servicios TI, mayor información en [17]

71

CAPÍTULO IV

MODELO DE LA GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN APLICANDO ISO 27000

4.1 Descripción del Modelo.

La seguridad de la información no se lo puede determinar sólo con la

instalación de mecanismos de seguridades tecnológicas (Firewall, IPS,

etc.) o con la contratación de empresa que presten servicios de seguridad,

por lo que, interviene en este nivel la implementación de los sistemas de

gestión de la seguridad de la información con expectativas a mediano o

largo plazo. Para ello se debe conocer cuáles son los productos de la

empresa y las tecnologías existentes en la misma.

Entre las necesidades de la empresa “Coka Tours” se requiere contar con

la implementación de un Modelo de gestión de la Seguridad de la

Información, que permita establecer métricas, parámetros y mediciones,

con métodos de evaluación, medidas de protección, y un proceso de

documentación y de verificación.

Figura 4.1. Figura del proceso del modelo PHVA.

Fuente: La gestión de la Seguridad en la Empresa, mayor información se


El principio del Modelo de Gestión de la Seguridad de la Información,

consta de tres fundamentos principales que se los debe considerar por

motivo de que interactúan mutuamente y que son: “Personas, Procesos y

Tecnología”., mayor información se encontrará en:[12]

72

Figura 4.2. Figura del Modelo de Negocio para la Seguridad de la

Información

Fuente: mayor información se encontrará en: [13].

Se consideró las características de la empresa “Coka Tours” para

establecer el Modelo de la Gestión de la Seguridad de la Información,

este modelo permite ser sostenible en el tiempo y está sujeto a mejoras.

Figura 4.3. Modelo de Deming - PHVA en relación a la empresa “Coka

Tours”.

Realizado por: Freire F. 04-enero-2014

73

La empresa establece un Sistema de Gestión de la Seguridad de la

Información considerando: la estrategia de la empresa, principios y

procesos de gestión, los recursos necesarios para toda la implementación,

y el involucramiento del Recurso Humano.

En el caso de la empresa “Coka Tours” se busca definir y coordinar todos

los componentes para lograr la efectividad en los objetivos de Seguridad,

realizando un uso racional de los recursos, de tal forma de adecuarse a

los lineamientos estratégicos de la empresa.

Con lo antes indicado elegimos un enfoque centralizado, por lo que se

debe establecer la particular de la necesidad del negocio y la estrategia de

la empresa y que estas tengan consistencia con las definiciones y

políticas empresariales, por lo que será necesario en cada una de las fases

del Modelo de Gestión de Seguridad de la Información, planificar y

gestionar los recursos disponibles bajo las mejores prácticas y principios

de gestión, y adecuándolo a la estructura jerárquica y a la normativa de la

empresa.

Figura 4.4. Figura del Modelo Jerárquico del MGSI.


74

Ello implica estimar, asignar, autorizar, administrar y racionalizar dichos

recursos de un modo conveniente a los intereses y necesidades de la

empresa respecto de la seguridad de la información.

Con lo antes indicado y con el objeto de este trabajo y de que la

metodología sea aplicable y efectiva, y se mantenga una relación

costo/beneficio en cuanto a su eficiencia operativa y los niveles de

seguridad de la información requeridos, nos vamos a concentrar en los

procesos críticos del negocio, los de mayor valor agregado y estratégicos

para su continuidad, y con ello dar soporte a los procesos que lo sustenta

a la empresa “Coka Tours”.

En este caso se presenta el Modelo de Gestión de Seguridad de la

Información, basado en el enfoque metodológico del Ciclo de Deming

como se muestra en la Figura 4.5.

Figura 4.5. Figura del Modelo de Gestión de Seguridad de la Información

de la empresa “Coka Tours.


4.2 Utilidad.

Al establecer el Modelo de Gestión de Seguridad de la Información para

la empresa “Coka Tours”, esto constituye los pasos que la misma debe

seguir, con el objetivo de reducir los gastos asociados a la Seguridad de

75

la Información; llevando a un ahorro de costos y un impacto económico

muy positivo para la empresa.

Con este modelo se identifica que los procesos para la gestión de la

seguridad de la información debe estar acorde a las estrategias, políticas

del negocio, con una gestión adecuada de riesgos e implementación de

acciones correctivas y preventivas.

4.3 Alcance.

El presente proyecto está definido en la implementación de un Modelo de

Gestión de la Seguridad de la Información, para la empresa “Coka

Tours”. De acuerdo a lo establecido en la NTE INEN - ISO/IEC

27001:2011 se incluirá lo siguiente:

Elaboración de la Política de Seguridad de la Información en base a

los requerimientos del negocio, la mismas que está conformado

con lo siguiente: “Organización de la Seguridad de la Información;

Gestión de Activos de Información, Seguridad en relación a

Recursos Humanos; Gestión de Comunicaciones y Operaciones;

Control de Accesos; Adquisición, Desarrollo y Mantenimiento de

Sistemas de Información; Gestión de Incidentes de Seguridad de

Información; Gestión de Continuidad Institucional”; esto se

encuentra especificado en el capítulo anterior.

76

Figura 4.6. Figura de los componentes del Sistema de Gestión de

Seguridad de la Información - SGSI de la empresa “Coka Tours

Realizado por: Freire F. 14 de enero del 2014

Análisis de los procesos críticos del negocio en función a la

estructura organizacional de la empresa y sus recursos tecnológicos

disponibles.

Definir la metodología utilizada para la gestión de riesgos para la

empresa.

Identificación de riesgos que se encuentran expuestos en los

procesos y activos de la empresa “Coka Tours”.

Análisis, evaluación de ocurrencia o impacto de los riesgos, para

determinar la mitigación o son aceptables para la empresa.

Determinar los objetivos de control a utilizarse en el tratamiento de

riesgos, basado en la norma NTE INEN - ISO/IEC 27001:2011 y

que sean aplicables para la empresa.

Determinar los riesgos residuales, para clasificarlos como

aceptables para la empresa, los mismos que deben ponerse en

consideración de la gerencia de la empresa.

77

4.4 Gerencia de la Seguridad de la Información.

La empresa “Coka Tours” definió tomar las siguientes medidas para la

implementación del Modelo de Gestión de la Seguridad de la

Información:

Creación de un comité de seguridad de la información (Gerencia,

Jefe del Departamento de Seguridad de la Información, Jefe del

Departamento de Tecnología).

Designó como responsables de la seguridad de la información

(Oficial de seguridad de la Información – Jefe del Departamento de

Seguridad de la Información).

La Gerencia Aprobó el documento de políticas de seguridad de la

información, el mismo que se encuentra establecido en el Capítulo

III de este trabajo.

La gerencia en coordinación con el Comité de Seguridad de la

Información realizará:

Revisar de forma periódica el estado general de la seguridad de la

información.

Revisar y aprobar el presupuesto y los proyectos de seguridad de la

información.

Aprobar cualquier actualización, modificación o elaboración de la

normativa institucional.

78

CAPÍTULO V

IMPLEMENTACIÓN DEL MODELO DE LA GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN

5.1 Herramientas.

5.1.1 Metodología para Implementar el Modelo de Gestión de Seguridad de

la Información.

No FASES ACTIVIDADES

1

Requerimientos

del Modelo

Seguridad de la

Información.

Se realizó un taller con los niveles estratégicos de la

empresa con el objetivo de dar a conocer los

requerimientos para la implementación del Modelo

de Seguridad de la Información.

En este taller los niveles estratégicos de la empresa

decidieron la implantación del Modelo de Seguridad

de la Información para la Empresa.

2 Determinación

del Alcance.

La implantación del Modelo de Seguridad de la

Información se lo realizará por procesos de acuerdo

a lo establecido en el capítulo anterior de este

trabajo.

Identificación de procesos críticos de la empresa, en

base al factor de éxito de la empresa.

3

Guía para

Implementar y

Operar el SGSI

Definir el Comité de Seguridad de la Información.

Designar el Oficial de Seguridad de Seguridad.

Definir los objetivos de control y controles.

Detección de incidentes y eventos de Seguridad.

Realización de revisiones periódicas al Modelo de


Implementar las acciones correctivas y preventivas.

Capacitación en el manejo de acción correctiva y

79

preventiva.

4

Guía para el

análisis y

evaluación de

riesgos

Establecer las guías de implementación para la

identificación de riesgos estratégicos para la

empresa.

Establecer las guías de implementación para la

identificación de riesgos operativos para la empresa.

Definir la matriz para documentar el Mapa de

Riesgos.

Definir la matriz para documentar los Riesgos

Estratégicos.

Definir la matriz para documentar los Riesgos

Operativos.

5

Guía para la

elaboración del

plan de

continuidad del

negocio

Establecer los pasos para la implementación del Plan

de Continuidad del Negocio.

Definir el Registro de Acciones antes de una

Interrupción.

Tabla. 5.1. Metodología para implantar el Modelo de Gestión de de

Seguridad de la Información en la empresa “Coka Tours”

Realizado por: FREIRE F., 18-enero-2014

5.1.2 Procedimiento de Gestión de Riesgos Empresarial.

En esta parte los aspectos que deben lograrse son la identificación de los

activos de la información, para conocer el impacto de cada activo de

información en la empresa, por lo que se procedió a tasar cada activo con

base en su confidencialidad, integridad y disponibilidad.

80

Figura 5.1. Proceso de Gestión de Riesgos Empresarial.

Fuente: Elaboración empresa “Coka Tours”

Con lo antes indicado la empresa Coka Tours establece como

responsables de gestionar cada clase y tipo de riesgo según su ámbito, a

las unidades administrativas acorde a la Matriz de Responsables de la

Gestión de Riesgos Institucionales, presentada a continuación:

81

Clases de

Riesgo

Tipos de

Riesgo

Responsables por actividad de Gestión de Riesgo

Identificación Implementación Monitoreo y

Evaluación

ESTRATÉGICO

Gerencia Unidades

Administrativas

Departamento de

Seguridad de la

Información

OPERATIVO

Proyectos Gerente de Proyecto Gerente de Proyecto Oficina de

Proyectos

Tecnológicos Departamento de

Tecnología

Unidades

Administrativas

Departamento de

Seguridad de la

Información

Seguridad de

la

Información

Departamento de

Seguridad de la

Información

Departamento de

Seguridad de la

Información

Procesos

Unidades

Administrativas

dueñas del Proceso

Unidades

Administrativas dueñas

del Proceso

Tabla. 5.2. Matriz de Responsables de la Gestión de Riesgos Institucionales

para la empresa “Coka Tours”.

Realizado por: la empresa “Coka Tours”, 25-enero-2014

Dentro de la gestión de riesgos institucionales se establece los siguientes

factores por clase y tipo de riesgo:

Clases de Riesgo

Tipos de Riesgo OPERATIVO

Proyectos Costo, tiempo, alcance y calidad.

Tecnológicos Datos, información, sistemas

informáticos, infraestructura,

instalaciones y recurso humano

Seguridad de la Información Confidencialidad, Integridad,

Disponibilidad

Procesos

Recurso Humano, sistemas de

información, seguridad de la

información

Tabla. 5.3. Matriz de Factores de Riesgo por Clase y Tipo para la empresa

“Coka Tours”.


82

La identificación y análisis de riesgos debe considerar como unidad básica

lo siguiente:

Riesgos en Proyectos: Debe considerar a nivel global los

programas y a nivel de detalle los proyectos que se encuentra

establecido en la oficina de Proyectos.

Riesgos Tecnológicos: Debe considerar a nivel general los

servicios críticos y a nivel de detalle los activos críticos de

Tecnología de la Información, alineados a la disponibilidad,

continuidad, capacidad y niveles de servicio de los servicios

tecnológicos.

Riesgos de Seguridad de la Información: Debe realizar a nivel

global sobre las normas conforme a los requerimientos aplicables

para la empresa de la norma técnica ecuatoriana NTE - INEN-

ISO/IEC 27002:2009.

Riesgos en Procesos: Debe realizarse a nivel global sobre los

procesos definidos en la empresa y a nivel de detalle sobre los

procesos de segundo nivel.

Para valorar los eventos de riesgos de la empresa, y determinar el riesgo

inherente, se debe considerar la siguiente escala:

ESCALA VALORACIÓN DEL NIVEL DE RIESGO

5 MUY ALTA 17-25

4 ALTA 10-16

3 MEDIA 5-9

2 BAJA 3-4

1 MUY BAJA 0-2

Tabla. 5.4. Valoración del Nivel de Riesgos para la empresa “Coka Tours”.


83

La escala definida para medir la probabilidad e impacto y sus criterios

son:

Escala % Impacto

5 Muy Alta 90% - 100% Catastrófico

4 Alta 66% - 89% Grave

3 Media 31% - 65% Moderado

2 Baja 11% - 30% Leve

1 Muy Baja 1% -10% Insignificante

Tabla. 5.5. Escala de Medición del Impacto de riesgos para la empresa “Coka

Tours”.


La definición de los criterios de impacto que la empresa considera se

detalla a continuación:

Impacto Detalle

Catastrófico

Eventos que de concretarse afecten: el cumplimiento de los

objetivos estratégicos; comprometan peligrosamente la

disponibilidad y continuidad de los servicios tecnológicos

críticos e infraestructura física y la seguridad, salud ocupacional

y trabajo de las personas; y en la que la imagen institucional se

vea comprometida por una amplia cobertura en los medios de

comunicación.

Grave

Eventos que de concretarse afecten: el cumplimiento de los

objetivos de la empresa; comprometan significativamente la

disponibilidad y continuidad los servicios tecnológicos e

infraestructura física y la seguridad, salud ocupacional y trabajo

de las personas; y en la que la imagen institucional se vea

comprometida por la cobertura en los medios de comunicación a

nivel nacional.

Moderado Eventos que de concretarse afecten: el cumplimiento oportuno de

los objetivos de la empresa; comprometan en menor grado la

84

disponibilidad y continuidad de los servicios tecnológicos e




nivel regional.

Leve

Eventos que de concretarse afecten; el cumplimiento de los

objetivos de la empresa; comprometan en mínimo grado la

disponibilidad y continuidad de los servicios tecnológicos e




nivel local.

Bajo

Eventos que de concretarse pueden: tener un pequeño o nulo

efecto en el cumplimiento de los objetivos; la disponibilidad y

continuidad de los servicios tecnológicos e infraestructura física

y la seguridad, salud ocupacional y trabajo de las personas; y en

la que la imagen institucional no se vea comprometida por la

cobertura en los medios de comunicación.

Tabla. 5.6. Definición de Impacto para la empresa “Coka Tours”.


Como respuesta a la valoración de los riesgos identificados se debe

establecer las siguientes acciones:

Evitar: Eliminar las acciones que generen los riesgos, siempre y

cuando esto sea realizable y no afecte los requerimientos legales o

la eficiencia operacional.

Reducir: Implica llevar a cabo acciones para reducir la

probabilidad o las consecuencias del riesgo, o ambos a la vez.

Compartir/Transferir: La probabilidad o las consecuencias del

riesgo se reducen trasladándolo o compartiéndolo de forma parcial

o total.

85

Aceptar: No se emprende ninguna acción que afecte a la

probabilidad, las consecuencias del riesgo, la efectividad del

control asociado al riesgo, la relación costo–beneficio no lo

justifica, o por la indisponibilidad de recursos y lineamientos.

El tratamiento de riesgos debe definirla factibilidad de implementación de

las medidas de mitigación y controles, que debe incluir la estimación de

recursos, cronogramas y responsables de ejecución; elementos que serán la

base para elaborar la mitigación de riesgos que debe integrarse al proceso

de planificación de la empresa para su ejecución.

5.2 Guías de Implementación.

5.2.1 Requerimientos del Modelo Seguridad de la Información.

En la empresa “Coka Tours” considera que la información es un activo

fundamental para la prestación de sus servicios y la toma de decisiones

razón por la cual la Gerencia consciente de sus necesidades actuales y con

los responsables de cada una de las áreas principales de la empresa aprobó

la implementación de un Modelo de Seguridad de la Información como la

herramienta que permita identificar y minimizar los riesgos a los cuales se

expone la información, ayude a la reducción de costos operativos y

financieros, establezca un cultura de seguridad y garantice el cumplimiento

de los requerimientos legales, contractuales, regulatorios vigentes.

5.2.2 Determinación del Alcance.

La empresa “Coka Tours” determinó el alcance del Modelo de Seguridad

de la Información el mismo que se establece en el Capítulo IV de este

trabajo.

Se definió una política de Seguridad de la Información la misma que

contiene lo siguientes ámbitos: “Organización de la Seguridad de la

Información; Gestión de Activos de Información, Seguridad en relación a

86

Recursos Humanos; Gestión de Comunicaciones y Operaciones; Control

de Accesos; Adquisición, Desarrollo y Mantenimiento de Sistemas de

Información; Gestión de Incidentes de Seguridad de Información; Gestión

de Continuidad Institucional”, esto se encuentra detallado en el Capítulo

III del presente documento.

Una vez establecido el marco normativo de la empresa se define lo

procesos críticos, el mismo que está relacionado con los factores críticos

del éxito que la empresa los considera como se muestra en la siguiente

tabla a continuación:

Factores

críticos

del éxito

Procesos

del Negocio

Satisfacción

del cliente

Nuevas

oportunidades

del negocio

Bajos

Costo

Empleados

Competentes Total

Atención al

Cliente X X X 3

E-

COMMERCE X X X 3

Logística X 1

Marketing X X X 3

Ventas X 1

Contabilidad X 1

Recursos Humanos

X 1

Gestión de Sistemas Tecnológicos

X X X 3

Tabla. 5.7. Matriz Identificación de Procesos críticos en la empresa “Coka Tours”

Realizado por: FREIRE F., 08-febreo-2014

En la tabla 5.2 indica los procesos de “Atención al Cliente”, “E-

COMMERCE”, “Marketing”, “Gestión de Sistemas Tecnológicos” son

los procesos críticos de la empresa, por tener mayor impacto en los

factores críticos del éxito.

87

5.2.2.1 Procesos críticos de la empresa “Coka Tours”.

La empresa “Coka Tours” no tiene definido la interrelación que existe

entre su procesos, a continuación se muestra lo proceso críticos de la

empresa y la interrelación que existe entre estos, con esto determinaremos

los componentes y las interfaces con los otros procesos.

o Proceso de Atención al Cliente

Figura 5.2. Metodología de las elipses en el proceso de Atención al

Cliente para la empresa “Coka Tours”.

Realizado por: FREIRE F, 08-febrero-2014

o Proceso de E-COMMERCE

Figura 5.3. Metodología de las elipses en el proceso de E-

COMMERCE para la empresa “Coka Tours”.

2. Realizado por: FREIRE F, 09-febrero-2014

88

o Proceso de Marketing

Figura 5.4. Metodología de las elipses en el proceso de Marketing

para la empresa “Coka Tours”.


o Proceso de Gestión de Sistemas Tecnológicos

Figura 5.5. Metodología de las elipses en el proceso de Gestión de

Sistemas Tecnológicos para la empresa “Coka Tours”.


89

5.2.3 Implementar y Operar el SGSI.

Una vez establecido con la Gerencia los requerimientos y el alcance para

el Modelo de Seguridad de la Información se indica los pasos a seguir para

la implementar y Operar un SGSI:

Aprobación por parte de la Gerencia de la Empresa.

Determinar y definir el alcance del Modelo de Seguridad de la

Información.

Establecer el Departamento de Seguridad de la Información y sus

objetivos.

Designar al Oficial de Seguridad de la Información – Jefe del

Departamento de Seguridad de la Información

Definir los Roles y responsabilidades.

Establecer los objetivos de control.

Implementar y operar controles para manejar los riesgos de

seguridad de la información de una organización en el contexto del

“Procedimiento de Gestión de Riesgos Empresarial”.

Se evaluará por parte de la Gerencia la mejora continua basada en

la medición del cumplimiento de los objetivos.

El Departamento de Seguridad de la Información es el encargado de

verificar y validar los requisitos de seguridad de la información que la

empresa los requiera, además de actualizar y controlar que la normativa de

empresa se cumpla.

5.2.4 Guía para el Análisis y Evaluación de Riesgos.

5.2.4.1 Guía para la Identificación de riesgos Estratégicos.

5.2.4.1.1 Generalidades.

a) La Gerencia debe identificar la posibilidad de que un evento suceda y

afecte adversamente a los objetivos estratégicos, para esto, debe

establecer el alcance, los límites y niveles aceptables de desviación

relativa a la consecución de objetivos (tolerancia al riesgo).

90

b) El análisis de riesgos estratégicos se debe realizar desde un enfoque

sistémico e integral, considerando temas globales relacionados con la

misión, visión y el cumplimiento de los objetivos estratégicos.

c) La identificación debe realizarla de forma sistemática estableciendo las

posibles causas de los riesgos estratégicos, así como los diversos y

posibles efectos que debe afrontar la Empresa.

d) La Gerencia debe garantizar la gestión, monitoreo y comunicación de

los riesgos estratégicos, y la implementación de las medidas de

mitigación y los mecanismos de control respectivos.

5.2.4.1.2 Identificación de Riesgos Estratégicos.

Taller por tipo de riesgo

La identificación de los riesgos estratégicos en esta primera instancia es

responsabilidad de la Gerencia con los responsables relacionados con el

tipo de riesgo, quienes deben ejecutar las siguientes acciones:

a) Organizar el taller para la identificación de riesgos, por tipo de riesgo,

con la participación de los jefes departamentales de la empresa.

b) En la convocatoria al taller para la identificación de los riesgos

estratégicos, debe solicitar a los jefes departamentales, el

levantamiento previo de los riesgos más relevantes (tres o cuatro)

dentro del ámbito de gestión en las unidades administrativas bajo su

responsabilidad, y sustentados en la respectiva justificación

(documentación relevante del tema).

c) Para el análisis interno de los posibles eventos que pueden producir

riesgos, deben utilizar el formato de la Matriz de Riesgos Estratégicos

establecido por la empresa.

d) Los asistentes al taller en conjunto deben analizar los riesgos que

presenten los jefes departamentales en cuanto a:

o Tipo y factores de riesgo: En la Matriz de Riesgos

Estratégicos se ubicará el tipo de riesgo, según el ámbito de

acción del departamento, si éste corresponde a: proyectos,

91

tecnológicos, seguridad de la información, procesos. Conforme

la fuente generadora del riesgo se elegirá el correspondiente

factor de riesgo.

o Vulnerabilidades, amenazas e impacto (efecto): Se analizará

por cada factor de riesgo las vulnerabilidades y amenazas que

pueden causar que el riesgo se materialice y se debe redactar el

impacto negativo, es decir el efecto que producirá el riesgo.

o Redacción del riesgo: De considerar que los efectos

impactarían directa y gravemente en los objetivos estratégicos

de la empresa, se debe proceder a redactar el riesgo conforme la

siguiente estructura:

Tabla. 5.8. Estructura para redactar el riesgo en la empresa “Coka Tours”


e) Los asistentes al taller en conjunto deben valorar el riesgo

identificado, en cuanto a probabilidad e impacto en la escala

cualitativa de 1 al 5, con el objeto de priorizarlos, y luego de

establecer la respuesta que se dará a dicho riesgo, es decir, si lo van a

aceptar, reducir, transferir o evitar. A continuación deben registrar las

medidas de mitigación, controles y responsables de la implementación

de ambos.

f) Cada Jefe departamental llevará a la Gerencia una propuesta con los

riesgos priorizados de los dos niveles más altos.

AMENAZA + VULNERABILIDAD + "CAUSARÍA" + IMPACTO Ejemplo:

Un accidente aéreo del avión + en el que viajan los ejecutivos del Directorio CAUSARIA una crisis en la dirección y control de la organización.

92

5.2.4.1.3 Taller plenario de la Gerencia.

Para la identificación de los riesgos estratégicos, el responsable por

parte de la Gerencia, encargado de elaborar la Matriz de Riesgos

Estratégicos, debe ejecutar las siguientes acciones:

a) Organizar el taller plenario para la validación de los riesgos

identificados previamente por cada Jefe departamental, con la

participación de la Gerencia.

b) Consolidar en la Matriz de Riesgos Estratégicos, los riesgos

previamente identificados por los Jefe departamentales, para lo

cual tomará todos los elementos de la matriz previamente

elaborada, excepto lo relativo a la valoración del riesgo

(probabilidad e impacto).

c) Los asistentes al taller plenario en conjunto deben analizar los

riesgos que presenten los Jefe departamentales.

5.2.4.1.4 Comunicación de la Matriz de Riesgos.

Una vez concluido el taller plenario de identificación de riesgos el

responsable por parte de la Gerencia, debe remitir a las unidades

administrativas responsables de la implementación, monitoreo y

evaluación de las medidas de mitigación y controles, la Matriz de

Riesgos Estratégicos. Y dispondrá a los Jefe departamentales que

incluyan las medidas de mitigación y controles en los respectivos

planes y presupuestos.

5.2.4.2 Guía para la Identificación de riesgos Operativos en procesos.

5.2.4.2.1 Generalidades.

a) Todo análisis de riesgos operativos deberá incluir la visión general del

proceso, tomando en cuenta las interacciones con otros procesos

institucionales, aplicaciones informáticas, entidades externas, etc., con

93

el fin de tener una mayor visibilidad y conocimiento del proceso

analizado desde un enfoque sistémico e integral.

b) Las empleados responsables de los procesos, deberán garantizar la

gestión, monitoreo y comunicación de los riesgos operativos en

procesos institucionales a su cargo, e implementar las medidas de

mitigación y los mecanismos de control respectivos.

c) La identificación de los riesgos operativos en procesos de la empresa,

medidas de mitigación y controles, será realizada por el responsable

del proceso; de forma participativa con un equipo multidisciplinario, el

mismo que deberá estar conformado por:

Responsable del Proceso.

Delegados de las unidades administrativas relacionadas al

proceso analizado.

Líder Técnico de Desarrollo. (Cuando exista asociado al

proceso un sistema informático).

Delegado del departamento de Seguridad de la Información.

d) Las propuestas de medidas de mitigación y controles definidos para

mitigar un riesgo operativo asociado a un proceso, deben considerar

una evaluación costo-beneficio, tomando en consideración el costo de

implementar el control en relación al beneficio que el mismo agregará

al proceso.

e) Las respuestas a los riesgos operativos en procesos institucionales y las

actividades de control deberán ser implementadas y ejecutadas por los

responsables de los procesos y las jefaturas de las unidades

administrativas, conforme corresponda, las mismas que deberán estar

orientadas a: Evitar, Reducir, Compartir o Aceptar el Riesgo

Operativo.

f) Es obligación de los empleados responsables de los procesos de la

empresa, firmar el Acta de Aceptación y el Acta de Compromiso con

el fin de garantizar la implementación de las medidas de mitigación y

los controles que minimicen los riesgos operativos asociados al

proceso.

94

g) El Departamento de Seguridad de la Información realizará el

monitoreo y control de cumplimiento de las medidas de mitigación y

controles implementados, a las distintas unidades funcionales.

h) Se procederá a la actualización de los riesgos operativos de un proceso,

cuando exista una intervención o mejora del mismo.

i) Las matrices de identificación de los riesgos operativos, medidas de

mitigación y controles, formarán parte de la documentación de los

procesos de la empresa.

j) El Responsable del Proceso deberá ejecutar las acciones necesarias

para la implementación de las medidas de mitigación y controles

relacionadas a su proceso.

5.2.4.2.2 Identificación de riesgos operativos en procesos de la empresa.

Para la identificación de los riesgos operativos, el Responsable del proceso

ejecutará las siguientes etapas:

5.2.4.2.3 Aproximación al Proceso.

Permite conocer e inteligenciarse sobre el proceso mediante la obtención

de información de diferentes medios internos o externos. Recopilar

documentación del proceso analizado relacionada con los puntos expuestos

a continuación y registrar la información obtenida en el respectivo Papel

de Trabajo.

a) Información de la empresa, corresponde a los datos de referencia de

de las funciones y demás información que norma el contexto en el cual

se desarrolla el proceso.

b) Contactos, contempla los datos de identificación de los empleados

relacionados con el proceso cuyos roles constan dentro del proceso

analizado.

95

c) Sistemas, consiste en conocer la funcionalidad general de los sistemas

informáticos internos o externos, así como también, y los accesos

relacionados al proceso.

d) Leyes/Normas/Disposiciones, registrar los datos de referencia de la

normativa que contiene normas regulatorias relacionadas con el

proceso.

e) Normas y Disposiciones internas, registrar los datos de referencia de

las disposiciones y normas internas que regulan al proceso.

f) Mejores Prácticas, registrar los datos de referencia de la Mejores

Prácticas y Estándares Internacionales que se encuentren relacionadas

al proceso.

g) Informes, registrar los datos de referencia de los informes de los

Organismos de Control internos o externos, que contengan hallazgos

relacionados con el proceso, como por ejemplo auditorías o exámenes

especiales; también se debe considerar las autoevaluaciones o

consultorías realizadas.

h) Información del Proceso, registrar los datos de referencia de la

información general del proceso, las cuales constan dentro de la

normativa de la empresa. Ejemplo. Políticas, Procedimientos,

Instructivos y Manuales de Usuarios y Guías Técnicas.

5.2.4.2.4 Verificación en campo.

Permite realizar una constatación de la ejecución de las actividades del

proceso verificación del flujograma en las unidades administrativas para

confirmar o rectificar las actividades registradas en el respectivo proceso:

a) Gráfico del flujo del proceso, presenta la caracterización y los

diagramas de flujo del proceso como consta en el respectivo proceso.

b) Flujo del Proceso por Actividad, registra los resultados de la

verificación de campo de cada una de las actividades del flujo del

proceso.

96

c) Registro de formularios, solicitudes y otros documentos que se

utilizan en el proceso, detalla los documentos que se generan en las

diferentes actividades del flujo del proceso, para conocer la aplicación

de los mismos.

5.2.4.2.5 Ejecución de Talleres.

El Responsable del Proceso es el encargado de coordinar las acciones

necesarias para conformar el equipo multidisciplinario e iniciar los talleres

para la identificación de los riesgos; así como también, deberá considerar a

los empleados que ejecutan las diferentes actividades del proceso en los

departamentos.

Ejecutar las siguientes actividades en el desarrollo del taller:

a) Explicar la estructura de la matriz, indicar los principales componentes

del proceso y el objetivo a alcanzar.

b) La matriz debe contener tres fases que se detallan a continuación:

Índice: Registra un listado que permitirá la ubicación del material

al interior del libro de trabajo en Excel.

Riesgos Generales: Mediante un cuestionario le permitirá

identificar de manera integral las amenazas, vulnerabilidades

generales e impacto del proceso, analizado el cuestionario y

determinado el estado (salud) del proceso, se redacta las

vulnerabilidades y amenazas que afectan el proceso por factor de

riesgo, y se procede con la identificación de los riesgos inherentes

al mismo, además de la respectiva valoración y tratamiento de los

riesgos; para luego determinar las medidas de mitigación y

controles generales que se aplicarán en el proceso.

Riesgos Específicos: Permitirá registrar las amenazas,

vulnerabilidades específicas e impacto por cada actividad del

proceso y por factor de riesgo, así como también la redacción del

97

riesgo inherente al proceso, la valoración y tratamiento de los

riesgos; y, especificar las respectivas medidas de mitigación y

controles.

Mapa de Riesgos: Muestra en forma sintetizada los riesgos

generales y específicos del proceso.

Se puede redactar uno o más riesgos por cada factor de riesgo.

5.2.4.2.6 Valorar, priorizar riesgos operativos e implementar medidas de

mitigación y controles.

La información obtenida previamente y registrada en los respectivos

formatos, permitirá al responsable del proceso realizar el análisis de los

riesgos identificados, quien con el conocimiento del proceso, el expertise

de los empleados operativos y la participación activa de los miembros del

equipo, realizará la valoración y priorización de los riesgos operativos

identificados, y determinará las medidas de mitigación y controles

correspondientes.

Análisis de riesgos operativos:

a) Establece la severidad de los eventos de riesgo, la cual se obtendrá de

la combinación entre la estimación de la probabilidad de ocurrencia y

el impacto de sus consecuencias.

b) La posibilidad de ocurrencia del riesgo puede ser medida con criterios

de Frecuencia, si se ha materializado (por ejemplo: Número de veces

en un tiempo determinado), o de Factibilidad teniendo en cuenta la

presencia de factores internos y externos que pueden propiciar el

riesgo, aunque éste no se haya materializado. Por Impacto se entiende

las consecuencias que puede ocasionar a la organización la

materialización del riesgo.

c) La probabilidad de ocurrencia y el impacto de sus consecuencias,

permite valorar y evaluar para obtener información que permita

98

establecer el nivel de riesgos y las acciones que se van a implementar.

Valorar cada uno de los riesgos identificados en la matriz de riesgos:

a) Evaluar y calificar el riesgo de acuerdo a lo establecido en el

“Procedimiento de Gestión de Riesgos Empresarial”.

Priorización.

a) Priorizar de acuerdo al grado de exposición de los riesgos frente al

logro de los objetivos del proceso y de acuerdo a esto establecer las

acciones a implementar.

Respuesta al riesgo.

a) Para disminuir el nivel de exposición al riesgo se debe considerar los

criterios que se detallan en el “Procedimiento de Gestión de Riesgos

Empresarial”.

5.2.5 Guía para la Elaboración del Plan de Continuidad del Negocio.

Para la elaboración de un plan de continuidad del negocio debe incluir los

siguientes componentes:

Análisis de Riesgos.

Desarrollo de Estrategias de Recuperación.

Desarrollar e implementar el Plan de Continuidad de Negocio.

Procedimientos de Recuperación.

Desarrollar programas de entrenamiento y concientización.

Pruebas y Mantenimiento del Plan de Continuidad del Negocio.

Procedimiento de mejora.

99

5.2.5.1 Análisis de Riesgos.

En esta fase se busca determinar los eventos y situaciones externas que

pueden afectar adversamente a la empresa, tanto por una interrupción

como por un desastre, evalúa el daño que dichos eventos pueden causar, y

los controles requeridos para prevenir o minimizar los efectos de pérdida

potencial. Provee un análisis costo-beneficio para justificar la inversión

requerida para mitigar los riesgos identificados.

En esta fase se debe implementar el Procedimiento de Gestión de Riesgos

Empresariales que se indicó en el punto anterior.

5.2.5.2 Desarrollo de Estrategias de Recuperación de las Operaciones.

En esta sección la Gerencia conjuntamente con los jefes departamentales,

deben establecer las distintas estrategias que se deben orientarse a la

recuperación y al normal funcionamiento de la empresa, aquí se debe

establecer los objetivos y tiempos de recuperación.

Como parte de esta etapa se deberá realizar lo siguiente:

Identificar los requerimientos estratégicos para la recuperación.

Valorar la oportunidad de estrategias alternativas contra los

resultados del Análisis del Impacto del Negocio.

Preparar un análisis costo/beneficio de las estrategias de

recuperación.

Seleccionar posibles sitios alternos de operación y respaldo de

datos.

Entender los requerimientos contractuales para los servicios del

negocio por parte de tecnología.

5.2.5.3 Desarrollar e implementar el Plan de Continuidad en TIC.

En esta fase, la Gerencia con los jefes departamentales deben diseñar,

desarrollar e implementar el plan de continuidad que proveerá de la

100

información necesaria para recuperar las operaciones dentro del marco de

tiempo establecido por la empresa.

Para lo cual debe considerar lo siguiente:

Determinar los requerimientos del Plan de Continuidad.

Determinar la estructura del Plan de Continuidad.

Diseñar el Plan de Continuidad.

Definir y documentar los procedimientos de recuperación.

Desarrollar los requerimientos de documentos a utilizar durante y

después del desastre.

Implementar el Plan de Continuidad.

Establecer pruebas y procedimientos de control, distribución,

capacitación y mejora continua del Plan de Continuidad.

5.2.5.4 Procedimientos de Recuperación.

Las Jefaturas departamentales conjuntamente con los dueños de los

procesos son responsables de documentar los procedimientos de

recuperación que afecte parcial o totalmente (escenario de peor caso) a sus

procesos.

Los procedimientos deben contener lo siguiente:

Sistemas informáticos que soportan el proceso.

Equipos y líneas de comunicación.

Definir los elementos críticos de los procesos.

Establecer los tiempos máximos de interrupción.

Los procedimientos de recuperación establecidos por cada departamento

debe incluir la información necesaria para la recuperación (“desde cero”)

de cualquiera de los elementos que conformen el proceso.

Para su preparación deberá considerarse siempre el “escenario de peor

caso” de forma tal que se documente todo lo necesario para una

recuperación total.

101

5.2.5.5 Desarrollar programas de entrenamiento y concientización.

La Gerencia debe desarrollar un programa orientado a crear y mantener

conciencia en la empresa, además de mejorar las habilidades requeridas

para desarrollar e implementar los planes de recuperación, por lo que la

empresa consideró lo siguiente:

Definir los objetivos de entrenamiento y concientización.

Ejecutar programas de entrenamiento.

Desarrollar programas de concientización.

Identificar otras oportunidades de educación.

5.2.5.6 Pruebas y mantenimiento al BCP.

Las Jefaturas Departamentales son los encargados de establecer un

cronograma para la ejecución de pruebas a los planes de continuidad con

antelación y coordinar ejercicios, documentando y evaluando los

resultados de ellos, por lo que debe considerar:

Establecer y ejecutar pruebas al Plan de Continuidad.

Determinar los requerimientos de las pruebas.

Desarrollar escenarios realistas para las pruebas.

Preparar reportes y procedimientos de control de los ejercicios.

Ejecutar ejercicios de pruebas.

Obtener retroalimentación de los resultados de las pruebas e

implementar las mejoras requeridas.

5.2.5.7 Procedimientos de mejora continua.

Los Jefes Departamentales con los dueños de los procesos deben

considerar lo siguiente:

Los dueños de procesos son los responsables por reportar al

coordinador del plan de continuidad, los cambios que se den en el

102

proceso; con el fin de de realizar las actualizaciones respectivas

Para realizar un cambio en el plan de continuidad se debe

considerar todos aquellos que modifiquen la estructura del plan de

continuidad tales como: cambios de los empleados, procesos,

sistemas informáticos, etc.

Cada dueño del proceso con su Jefatura Departamental respectiva

debe establecer la capacitación a los empleados y establecer un

plan de capacitación.

Los dueños de los proceso con las jefaturas respectivas deben

definir el plan para pruebas de forma periódica.

5.2.5.8 Guía para Monitorear y Revisar el Modelo de Seguridad de la

Información.

La organización debe ejecutar procedimientos de monitoreo y revisión, y

otros controles para detectar oportunamente incidentes de seguridad y

resultados de procesamiento así como sus delegados e indicadores. Por

otra parte se debe realizar revisiones, mediciones y evaluaciones regulares

de la efectividad del SGSI así como sus objetivos para llegar a tener un

riesgo aceptable en la seguridad.

También es necesario realizar auditorías SGSI internas bajo una revisión

gerencial que busque la mejora continua y actualice los planes de

seguridad incluyendo actividades de monitoreo y revisión.

Registrar las acciones y eventos que podrían tener un impacto sobre la

efectividad o desempeño del SGSI.

5.3 Roles y Responsabilidades para la Seguridad de la Información.

Los roles y responsabilidades para la administración de Seguridad de la

Información se encuentra divida entre el Departamento de Tecnología y el

Departamento de Seguridad de la Información. Por tal motivo y de acuerdo

a la Gerencia se establece que el Departamento de Seguridad de la

Información es el encargado para la administración de la seguridad de la

información.

103

Las responsabilidades del Departamento de Seguridad de la Información es

establecer la gestión del plan de seguridad de la información a lo largo de la

empresa, así como la coordinación entre el personal de sistemas y los

responsables y personas de las áreas de negocio, quienes son los

responsables de la información que utilizan.

Los responsables de la información deben verificar la integridad,

disponibilidad y confidencialidad de la información que manejan, es

importante indicar que las responsabilidades referentes a la seguridad

información son distribuidas dentro de toda la empresa.

Los responsables de la información son los encargados de implementar el

cumplimiento de las actividades relacionadas a Seguridad de la Información

y el Departamento de Seguridad de la Información es el responsable de

monitorear, supervisar el cumplimiento de la normativa y los procesos

definidos para mantener la seguridad de la información.

A continuación se indican los roles y responsabilidades para la gestión de la

seguridad de la información:

NOMBRE ROLES Y RESPONSABILIDADES

Gerencia de la Empresa

“Coka Tours”

Designar los representantes de un Comité de


Designación del responsable de la Seguridad de

la Información (Oficial de la Seguridad de la

Información).

Aprobar la normativa sobre políticas,

procedimientos e instructivos relacionado a la


Velar por el cumplimiento de las políticas de


Asignar las responsabilidades asociadas al tema

de la seguridad de la información

Tabla. 5.9. Roles y Responsabilidades de la Gerencia de la Empresa “Coka

Tours”

Realizado por: FREIRE F, 01-marzo-2014

104


Comité de Seguridad

de la Información

Revisar periódicamente el estado general de la


Monitorear y revisar los incidentes de


Aprobar y verificar los proyectos de seguridad

de la información conjuntamente con la

Gerencia.

Aprobar las modificaciones o nuevas políticas

de seguridad de la información.

Tabla. 5.10. Roles y Responsabilidades del Comité de seguridad de la

Información de la empresa “Coka Tours”



Departamento de

Seguridad de la

Información

Establecer la normativa y definir las

responsabilidades de la empresa y empleados

sobre la seguridad de la información.

Actualizar y elaborar la normativa de


Establecer los objetivos de seguridad y

estándares.

Definir metodologías y procesos para la

implementación del modelo de gestión de


Determinar los objetivos de control a realizar

en la empresa. (diseño y programación de

controles de seguridad)

Supervisar los incidentes de alta severidad que

ocurrieran en la empresa.

Análisis de vulnerabilidades y de seguridad en

105

productos de software.

Monitorear el cumplimiento de la normativa

de la Empresa.

Reportar periódicamente a la gerencia sobre la

administración de la seguridad de la

información.

Tabla. 5.11. Roles y Responsabilidades del Departamento de Seguridad de la

Información de la Empresa “Coka Tours”



Departamento de

Tecnología

Implementar las medidas de Seguridad

solicitadas por el Departamento de Seguridad

de la Información.

Responder ante cualquier incidente de


Gestionar los accesos a los sistemas

informáticos de la empresa (alta, baja y

modificación de accesos).

Implementar parches de seguridad informática

(pruebas e instalación).

Tabla. 5.12. Roles y Responsabilidades del Departamento de Tecnología de la

Empresa “Coka Tours”.



Oficial de la

Seguridad de la

Información

Administrar el presupuesto de seguridad de la

Información.

Gestionar y Administrar el personal de

Seguridad.

Establecer la estrategia de seguridad de la

información y objetivos. (hacia dónde vamos y

qué hay que hacer).

106

Gestionar los Proyectos relacionados a


Detectar las necesidades y vulnerabilidades de

seguridad desde el punto de vista del negocio y

su solución.

Realizar el análisis de riesgo a los sistemas

informáticos.

Establecer los lineamientos específicos para

controlar el acceso a los sistemas de

informáticos y la modificación de privilegios.

Convocar al comité de seguridad de la

información de forma inmediata en el caso de

un incidente que requiera de definición de

varias áreas.

Tabla. 5.13. Roles y Responsabilidades del Oficial de la Seguridad de la

Información de la Empresa “Coka Tours”.



Responsables de la

Información

Establecer la clasificación de la información de

la empresa.

Determinar los niveles de acceso a la

información.

Autorizar la asignación de permisos de acceso

al personal.

Apoyar al Área IT en la generación de los

controles necesarios para el almacenamiento,

procesamiento, distribución y uso de la

información

Tabla. 5.14. Roles y Responsabilidades de los Responsables de la Información

de la Empresa “Coka Tours”.


107

5.4 Beneficio al Implementar un Modelo de Gestión de Seguridad de la

Información.

Las ventajas con la implementación de este Modelo de Seguridad de la

Información es la mitigación de fuga de información que puede ocurrir,

propiciando ahorro de costos y un impacto económico muy positivo para la

empresa.

No se tiene que invertir grandes cantidades de dinero en equipos (hardware)

o software para la implementación disminuyendo considerablemente sus

gastos.

Al definir el modelo la empresa mejoraría los procesos que actualmente

lleva y no se requiere de contratar más empleados. Este ahorro de salario se

mantendría como parte del continuo gasto que la empresa realiza por lo que

los ahorros se entienden a un mayor plazo en el tiempo.

Permite optar a nuevas metodologías.

Le permite a la empresa experimentar la implementación de nuevas

metodologías que al ser contratadas por medio de consultorías serían muy

costosas por lo que su implementación se encuentra dentro de un precio

moderado para la organización.

Sin Implementar el Modelo de

Seguridad de la Información

Implementado el Modelo de

Seguridad de la Información

Productividad

Recursos Humano innecesario y

con acceso no autorizados.

Permite tener un mejor control

de la información que genera

los empleados.

Gestión

Tecnológica

No posee controles de seguridad

de la información en los sistemas.

Perdida de información causada

mediante los sistemas

informáticos.

Control sobre la información

que genera la empresa.

Mejora de procesos para

mitigar la perdida de

información en los sistemas

108

Accesos no autorizados a la

información.

Fuga de Información por parte de

los empleados.

informáticos.

Accesos Controlados.

Control y registro de

información que administra los

empleados.

Gestión de la

Seguridad

Los procesos de seguridad son

intuitivos.

No se encuentran definidos

niveles de seguridad sobre la

información.

No existen responsables en el

manejo de información.

Procesos organizados.

Se establece niveles de

seguridad en la información.

Se establecen los responsables

que administran la

información.

Tabla. 5.15. Comparativo Sin y Con la Implementación del Modelo seguridad

de la Información


La implantación del Modelo de Gestión de la Seguridad de la Información

diseñada para la empresa “Coka Tours” tiene los siguientes beneficios:

Un análisis de riesgos para los procesos Estratégicos y Operativos.

Una gestión adecuada de los riesgos según el procedimiento de gestión

de riesgos empresariales, con el objetivo de conocer, analizar sus

riesgos e impactos en la empresa.

Mejoramiento continúo y de gestión del Modelo de Seguridad de la

Información.

Con la aplicabilidad de la normativa se da cumplimento de la

legislación vigente sobre protección de datos de carácter personal,

comercio electrónico, propiedad intelectual, etc.

Facilita el logro de los objetivos de la empresa.

La empresa la hace más segura y establece medidas para la gestión de

sus riesgos.

Optimiza la asignación de recursos.

Fortalece la cultura de Seguridad de la Información.

109

Organizar los recursos de la seguridad.

La empresa al implementar un Modelo de Gestión de la Seguridad de la

Información, establece una cultura de seguridad y una excelencia en el

tratamiento de la información en todos sus procesos de negocio. Así,

aporta un valor añadido de reconocido prestigio, en la calidad de los

servicios que ofrece a sus clientes.

COSTO DE IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD

DE LA INFORMACIÓN

Costo de Implementación del Modelo de Seguridad de la Información

Desarrollo Costos

1 persona (270 horas a $8) 2160

Sub Total 2160

Equipos

Equipos Informáticos del Proyecto de Investigación (1 computador) 1400

Sub Total 1400

Suministros y gastos

Alquiler conexión Internet (6 meses) 600

Suministros de Oficina para el Proyecto de Investigación (Papel,

esferos, etc.) 200

Adquisición de Material Bibliográfico del Proyecto de Investigación 100

Subscripción a Descargas de Material Digital para el Proyecto de

Investigación 500

Suministros de Servicios Públicos (Agua, Luz – 6 meses) 200

Sub Total 1600

Total Costo de Implementación del Modelo de Seguridad de la

Información 5160

110

CAPÍTULO VI

CONCLUSIONES Y RECOMENDACIONES

6.1 CONCLUSIONES

La empresa Coka Tours con la implementación de un Modelo de

Gestión de Seguridad de la Información basado en el estándar ISO

27000 le permite la integración con otras empresas a nivel mundial, y

que requieren de ciertos niveles de seguridad para esta asociación.

La empresa Coka Tours requiere de una metodología que permita

gestionar la seguridad de la información correlacionado con los

lineamientos y objetivos de la empresa en coordinación con las etapas

del PHVA (ciclo de deming), con la finalidad de alcanzar los niveles

de seguridad necesarios.

Al implementar el Modelo de Gestión de la Seguridad de la

Información los empleados de la empresa Coka Tours, pueden acceder

a la información de la empresa con la respectiva autorización, con esto

la empresa considera a la información como un activo más, y minimiza

el riesgo de fuga y/o pérdida de información.

Este trabajo aporta una metodología con un enfoque global y

sistémico, para la empresa Coka Tours, viable, conveniente y efectivo,

dando una estructura para lograr la coordinación necesaria y

especificando los pasos que deben cumplirse en cada fase,

consiguiendo la optimización de todos los recursos para la seguridad

de la información.

En relación a la metodología para la estrategia del análisis, gestión,

planificación, implementación y seguimiento del Modelo de Gestión

de Seguridad de la Información (MGSI), proponemos un enfoque

estructurado desde la definición de la normativa de seguridad hasta la

111

definición del MDGSI, y las guías de implementación para cada fase

de este Modelo.

La detección de pérdida o fuga de la información por parte de la

empresa sin la implementación de un Modelo de Gestión de Seguridad

de la Información, puede requerir de varias semanas o, incluso meses,

con la implementación de MDGSI permite reducir en mucho menos

tiempo este tipo de riesgos y detectar de forma oportuna las

vulnerabilidades y riesgos de la empresa.

Todos los controles establecidos dentro de la normativa de la empresa

permite mejorar los niveles de seguridad ya sea en su parte física,

estructural, tecnológica; donde se podrán ir identificando cada uno de

los problemas presentados, los mismos que podrán ser tomados como

casos de análisis para poder identificar mecanismos y falencias en

controles y políticas de seguridad de la información.

6.2 RECOMENDACIONES

Implementar la gestión de riesgos empresarial en base a los objetivos y

lineamientos de la empresa permitiendo de esta manera evaluar de

forma correcta los riesgos de seguridad.

Asegurar que todos los empleados de la empresa firmen acuerdos de

confidencialidad y respeté los derechos sobre cualquier propiedad

intelectual o trabajo original, y dar a conocer que la información

generada pertenece a la empresa.

Revisar las respectivas obligaciones contractuales entre los empleados

y la empresa con el objetivo de identificar los riesgos; así mismo debe

evaluarse detenidamente cualquier cláusula estándar que abarque

limitaciones de responsabilidad.

112

Evaluar y promocionar el Modelo de Gestión de Seguridad de la

Información dentro de la empresa Coka Tours, como potencial

instrumento para minimizar las amenazas y vulnerabilidades de


Seleccionar un proceso poco crítico para la implementación de

medidas y controles de seguridad de la información, esto permitirá

desarrollar una experiencia piloto.

Mantener actualizado la normativa y los controles de seguridad de

acuerdo a los objetivos y lineamiento de la empresa.

Aplicar cada uno de los puntos indicados anteriormente y que

contemplan la situación actual de la empresa con el objetivo de

minimizar el alto índice de inseguridad que se puede presentar sin

ningún esquema de seguridad de la información.

113

GLOSARIO DE TÉRMINOS

ACTIVOS DE INFORMACIÓN: Son ficheros y bases de datos, contratos y

acuerdos, documentación institucional, manuales de los usuarios, material de

formación, aplicaciones, software del sistema, equipos y servicios

informáticos y de telecomunicaciones.

AMENAZA: Evento no deseado, el cual podría causar daño a un proceso.

CONFIDENCIALIDAD: Condición que garantiza que la información

institucional sea accesible sólo al personal autorizado a tener acceso a la

misma, y que ésta no debe ser revelada de forma no autorizada.

CONTRASEÑA: Es una serie secreta de caracteres que permite a un usuario

autenticarse y tener acceso, entre otros a: sistemas de información, redes,

bases de datos, servicios, o recursos tecnológicos.

CONTROLES: Consisten en todos los métodos y mecanismos físicos como

tecnológicos, políticas y procedimientos de la Institución, creados con el

objetivo de asegurar protección y buen uso de sus activos de información,

garantizar la exactitud y fiabilidad de sus registros, y el cumplimiento

operativo de la normativa de la empresa.

DISPONIBILIDAD: Condición que garantiza que los usuarios autorizados

tengan acceso a la información institucional y a los recursos relacionados con

la misma, todas vez que lo requieran de acuerdo a las funciones asignadas.

EMPLEADOS: Son todas las personas que trabajen, presten servicios o

ejerzan un cargo, función o dignidad dentro de la empresa Coka Tours.

EVALUACION DE RIESGOS: Son las actividades de seguimiento y

supervisión de la implementación de las medidas de mitigación y controles, y

la determinación de la eficacia de los mismos, cuya responsabilidad

corresponde a las unidades administrativas identificados.

GESTIÓN DE RIESGOS: Es el proceso integral de identificación,

planificación y ejecución de las medidas de mitigación y controles, monitoreo

y valuación de medidas de mitigación y controles.

114

GRUPO DE INFORMACIÓN: Son conjuntos de datos o documentos físicos

que tienen características comunes de agrupación, y que conforman una

unidad de información independiente.

INCIDENTE DE SEGURIDAD: Es un evento, situación, o hecho que afecta

significativamente a la imagen, misión, objetivos, información

(confidencialidad, integridad, disponibilidad), servicios, procesos, bienes,

sistemas o recursos (humanos, tecnológicos, financieros) y que requiere una

acción o una respuesta efectiva para su mitigación.

INFORMACIÓN: Conjunto organizado de datos significativos y procesados,

que sirven a un objetivo específico, y cuyo uso racional constituye la base para

la toma de decisiones, resolución de problemas, gestión de procesos, y gestión

del conocimiento.

INFORMACIÓN DIGITAL: Es toda información generada y procesada por

equipos electrónicos de cómputo, y almacenada en dispositivos ópticos y

medios magnéticos como discos duros, discos externos, USB, CD/DVD, Pen-

Drive, Tablet-PC, Ipad, teléfonos inteligentes, etc.

INTEGRIDAD: Condición que garantiza la exactitud y totalidad de la

información institucional.

MEDIDAS DE PROTECCIÓN: Conjunto de acciones físicas, técnicas,

normativas y organizativas que se orientan a garantizar la confidencialidad,

integridad y disponibilidad de la información institucional y que deben

adoptarse en función del nivel de sensibilidad de la información.

MEDIDAS DE MITIGACIÓN Y CONTROLES: Son acciones y

mecanismos definidos para prevenir o reducir la probabilidad de ocurrencia

y/o el impacto de los eventos no deseados que ponen en riesgo a los activos de

la Institución; protegen frente a posibles pérdidas y corrigen las desviaciones

que se pudieren presentar en el desarrollo normal de las actividades, y deberán

estar alineados con los objetivos de la empresa.

MEDIOS DE ALMACENAMIENTO: Para la información digital, son

dispositivos ópticos o magnéticos que almacenan información lógica. Para la

información física, son elementos físicos que permiten guardar la información

documental.

115

PERSONAL EXTERNO: Es toda persona natural que actúe a cuenta propia

o en representación de una persona jurídica, que tenga relación contractual con

la empresa Coka Tours.

SEGURIDAD DE LA INFORMACIÓN: Se entiende como la preservación

de la confidencialidad, integridad y disponibilidad de la información.

PROBABILIDAD: Grado de posibilidad de que un evento dado ocurra.

RIESGO INHERENTE: Es el resultado de la identificación inicial de

riesgos, antes de aplicar medidas de mitigación y/o controles.

VULNERABILIDAD: Factor de riesgo interno de un elemento o grupo de

elementos expuestos a una o más amenazas, correspondiente a su

predisposición intrínseca a ser afectado, de ser susceptible a sufrir un daño.

116

BIBLIOGRAFÍA

Monografías electrónicas.-

1. Constitución de la República del Ecuador [en línea]. [Fecha de consulta: 11 de

Noviembre del 2013]. Disponible en:, < http:// www .asambleanacional.gob.ec

/documentos/constitucion_de_bolsillo. pdf>.

2. Ley de Comercio Electrónico, Firmas Electrónica y Mensajes de Datos [en

línea]. [Fecha de consulta: 19 de Noviembre del 2013]. Disponibles en:,

http://www.oas.org/juridico/PDFs/mesicic4_ecu_comer.pdf>.

3. Reglamento a la Ley de Comercio Electrónico, Firmas Electrónicas y

Mensajes de Datos [en línea]. [Fecha de Consulta: 22 de Noviembre del

2013]. Disponible en: <https://docs.google.com/document/edit?id=1QtZ E

STA Q9KfdH_09IOa35nuraJQzXO5XSF3_GIPuEHY &hl =en>.

4. Ley de Propiedad Intelectual [en línea]. [Fecha de consulta: 26 de Noviembre

del 2013]. Disponible en:, <http://www.iepi.gob.ec/images/docs/ baselegal/

LeyPropiedadIntelectual.pdf>.

5. Constitución de la República del Ecuador [en línea]. [Fecha de consulta: 11 de

Noviembre del 2013]. Disponible en:, < http:// www .asambleanacional.gob.ec

/documentos/constitucion_de_bolsillo. pdf>.

6. Ley de Comercio Electrónico, Firmas Electrónica y Mensajes de Datos [en

línea]. [Fecha de consulta: 19 de Noviembre del 2013]. Disponibles en:,

http://www.oas.org/juridico/PDFs/mesicic4_ecu_comer.pdf>.

7. Reglamento a la Ley de Comercio Electrónico, Firmas Electrónicas y

Mensajes de Datos [en línea]. [Fecha de Consulta: 22 de Noviembre del

2013]. Disponible en:, <https://docs.google.com/document/edit?id=1

QtZESTAQ9KfdH_09IOa35nuraJQzXO5XSF3_GIPuEHY &hl =en>.

8. Ley de Propiedad Intelectual [en línea]. [Fecha de consulta: 26 de Noviembre

del 2013]. Disponible en:, <http://www.iepi.gob.ec/images/docs/ baselegal/

LeyPropiedadIntelectual.pdf>.

9. La gestión de la seguridad en la empresa [en línea] [Fecha de consulta: 30 de

Noviembre del 2013]. Disponible en: http://www.aec.es/c/document_library/

get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&gro upId=10128.

http://www.aec.es/c/document_library/%20get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&gro%20upId=10128

http://www.aec.es/c/document_library/%20get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&gro%20upId=10128

117

10. ISM3 Consortium, “Information Security Management Maturity Model v.

2.10” [en línea] [Fecha de consulta: 3 de Diciembre del 2013] disponible en:

http://www.ism3.com/.

11. Libro Cobit 4.0 IT Governance Institute[en línea] [Fecha de consulta: 9 de

Diciembre del 2013]. Disponible en: www.isaca.org/bmis .

12. ITIL Gestión de Servicios TI - Gestión de la Continuidad del Servicio [en

línea] [Fecha de consulta: 14 de Diciembre del 2013]. Disponible en :

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_continui

dad_del_servicio/vision_general_gestion_de_la_continuidad_del_servicio/visi

on_general_gestion_de_la_continuidad_del_servicio.php.

13. ISACA [en línea] [Fecha de consulta: 16 de Diciembre del 2013]. Disponible

en : http://www.isaca.org/spanish/Pages/default.aspx

14. La gestión de la seguridad en la empresa [en línea] [Fecha de consulta: 30 de

Noviembre del 2013]. Disponible en: http://www.aec.es/c/document_

library/get_file?uuid=172ef055-858b-4a34-944d-

8706db5cc95c&groupId=10128.

15. ISM3 Consortium, “Information Security Management Maturity Model v.

2.10” [en línea] [Fecha de consulta: 3 de Diciembre del 2013]. Disponible en :

http://www.ism3.com/.

16. Cobit 4.0 IT Governance Institute [en línea] [Fecha de consulta: 9 de

Diciembre del 2013]. Disponible en: www.isaca.org/bmis .

17. ITIL Gestión de Servicios TI - Gestión de la Continuidad del Servicio [en

línea] [Fecha de consulta: 14 de Diciembre del 2013]. Disponible en:

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_continui

dad_del_servicio/vision_general_gestion_de_la_continuidad_del_servicio/visi

on_general_gestion_de_la_continuidad_del_servicio.php.

18. SEGUR INFOR - [en línea] [Fecha de consulta: 17 de Diciembre del 2013].

Disponible en: www.segurinfo.org.

19. Implantación del ISO 27:001:2005 “Sistema de Gestión de Seguridad de

Información”. [en línea] [Fecha de consulta: 18 de Diciembre del 2013].

Disponible en: http://www.centrum.pucp.edu.pe/excelncia.

http://www.ism3.com/

http://www.isaca.org/bmis

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_continuidad_del_servicio/vision_general_gestion_de_la_continuidad_del_servicio/vision_general_gestion_de_la_continuidad_del_servicio.php



http://www.isaca.org/spanish/Pages/default.aspx

http://www.aec.es/c/document_%20library/get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&groupId=10128



http://www.ism3.com/

http://www.isaca.org/bmis

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/

http://www.segurinfo.org/

http://www.centrum.pucp.edu.pe/excelncia

118

20. “Política de Seguridad de la Información para Organismos de la

Administración Pública Nacional” - Programa Nacional de Infraestructuras

Críticas de Información y Ciberseguridad. [en línea] [Fecha de consultas: 19

de Diciembre del 2013]. Disponible en: http://www.icic.gob.ar/pagin

as.dhtml?pagina=245.

21. El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto

central sobre el que se construye ISO 27001. [en línea] [Fecha de consulta: 21

de diciembre del 2013]. Disponible en : http://www.iso27000.es/sgsi.html.

22. Sistema de Gestión de Seguridad de la Información [en línea] [Fecha de

consulta: 28 de diciembre del 2013]. Disponible en: http://sgsi.utp.edu.co/

que-es-el-sgsi.html.

23. Sistema de Gestión de la Seguridad de la Información - Modelo PDCA [en

línea] [Fecha de consulta: 04 de enero del 2014]. Disponible en :

.http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_

SGSI/.

24. Gestión de Riesgos de TI [en línea] [Fecha de la consulta: 08 de enero del

2014]. Disponible en: http://www.sisteseg.com/files/Microsoft_Word_-

_GESTION_DE_RIESGOS_DE_TI.pdf.

25. Claves para implantar un modelo de seguridad informática exitoso [en línea]

[Fecha de la consulta: 11 de enero del 2014]. Disponible en: http://negociosy

management.com.ar/?p=2285.

26. Gestión de Riesgos [en línea] [Fecha de la consulta: 15 de enero del 2014].

Disponible en: http://www.solis.com.ve/gestion-de-riesgos/.

27. COSO, Procesos de Negocios, Control y Riesgo Operacional [en línea] [Fecha

de la consulta: 22 de enero del 2014]. Disponible en: http://www.pwc.com

/cl/es/cursos/finanzas-y-analisis-cuantitativo/coso-ii-enfoque-para-

administracion-corporativa-de-riesgos.jhtml.

28. “La Administración del Riesgo Empresarial: Una responsabilidad de todos –

el enfoque COSO” [en línea] [Fecha de la consulta: 18 de enero del 2014].

Disponible en: http://ayhconsultores.com/img/COSO.pdf.

29. COSO II – ERM y el Papel del Auditor Interno [en línea] [Fecha de la

consulta: 1 de Febrero del 2014]. Disponible en: http://auditor2006.

http://www.icic.gob.ar/pagin%20a

http://www.icic.gob.ar/pagin%20a

http://www.iso27000.es/sgsi.html

http://sgsi.utp.edu.co/%20que-es-el-sgsi.html

http://sgsi.utp.edu.co/%20que-es-el-sgsi.html

http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/

http://www.sisteseg.com/files/Microsoft_Word_-_GESTION_DE_RIESGOS_DE_TI.pdf

http://www.sisteseg.com/files/Microsoft_Word_-_GESTION_DE_RIESGOS_DE_TI.pdf

http://www.solis.com.ve/gestion-de-riesgos/

http://ayhconsultores.com/img/COSO.pdf

119

comunidadcoomeva.com/blog/uploads/1-PresentacinRafaelRuano-

PriceWaterHouseCoopers-COSOII-ERMyelRoldelAuditorInterno.pdf

30. Marco Integrado de Administración de Riesgos Corporativos [en línea] [Fecha

de la consulta: 10 de Febrero del 2014]. Disponible en: http://www.theiia.

org/chapters/pubdocs/263/ERM.pdf.

Libros.-

31. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE

INEN - ISO/IEC 27000:2012, número de referencia ISO/IEC 27000:2009 (E),

Primera Edición, Quito – Ecuador. 2012.



















38. La nueva norma internacional para la seguridad de la información sistemas de

gestión/ Pasar de la norma ISO / IEC 27001:2005 ISO / IEC 27001:2013-

bsigroup.com United Kindom. 2013.

120

39. Open Group Standard- Open Information Security Management Maturity

Model (O-ISM3- Modelo de Madurez de Gestión de Seguridad), The Open

Group, 2011.

40. Modelo de seguridad de la información para la estrategia de gobierno en línea

2.0, República de Colombia, 2011.

41. PERFILES PROFESIONALES PARA SEGURIDAD INFORMATICA Un

enfoque práctico, Universidad Señor de Sipan, Perú, 2009

Trabajo de grado o tesis doctoral.-

42. CHACÓN, Andrés “DEFINICIÓN DE UN MODELO DE SEGURIDAD DE

LA INFORMACIÓN PARA COMPUTACIÓN EN NUBES PRIVADAS Y

COMUNITARIAS”., Trabajo de grado para optar al título de Maestría en

Gestión de Tecnología Informática y Telecomunicaciones, Universidad

ICESI, Cali. COL. 2012. 91p

43. GONZALO, Sandra “GOBIERNO Y MODELADO DE LA SEGURIDAD

DE LA INFORMACIÓN EN LAS ORGANIZACIONES”., Trabajo de grado

para optar al título de Ingeniería Técnica en Informática de Gestión,

Universidad Carlos III de Madrid, ESP. 2011. 332p.

Conferencia, congreso o reunión.-

44. Seminario Regional Tacna (2012, Lima Perú): “Gobierno Electrónico en el

Marco del Proceso Descentralizado y Modernización de la Gestión del

Estado”. Perú. 2012.

45. Tercer Congreso Iberoamericano de Seguridad Informática (2012, Madrid

España) “Hacia un modelo de Gestión de la Seguridad de la Información para

la Pequeña y Mediana Empresa”, Madrid. 2012.

121

ANEXOS

ANEXO 1

Creación del Comité de Seguridad de la Información.

Ambato, XX de XX de 2014

Sr. Segundo Freire Flores

GERENTE DE LA EMPRESA COKA TOURS.

El Sr. Segundo Freire Flores dispone la creación del Comité de Seguridad de la

Información el mismo que se encuentra conformado por la Gerencia, Jefatura del

Departamento de Seguridad de la Información, Jefatura del Departamento de

Tecnología.

Att

Sr. Segundo Freire

Gerente – Coka Tours

122

ANEXO 2

Declaración de Aceptación del Cargo de “Oficial de Seguridad de

la empresa Coka Tours”

Ambato, XX de XX de 2014

Sr. Segundo Freire Flores

GERENTE DE LA EMPRESA COKA TOURS.

De mi consideración:

Dispone al Sr. (Nombres y Apellidos) Jefe del Departamento de Seguridad de la

información el cargo de “Oficial de Seguridad de la Información” de la empresa

“Coka Tours”, quién acepta conocer todos los términos, condiciones, atribuciones

y obligaciones.

Particular que hago de su conocimiento

Atentamente,

Sr. Segundo Freire

Gerente – Coka Tours

123

ANEXO 3

Mapa de Riesgos

Matriz de Riesgos Estratégicos

Matriz de Riesgos Operacional

124

Matriz de Análisis Costo Beneficio Medidas de Mitigación

Plan de Acción de Medidas de Mitigación y Controles

125

ANEXO 4

Registro de Acciones ante una Interrupción

126

BIOGRAFÍA

Mis estudios primarios los realice en la escuela Liceo Juan Montalvo, en la

ciudad de Ambato en que me inculcaron valores como el cortesía,

humildad, y responsabilidad, los estudios secundarios los realice en el

Colegio Particular Indoamerica; en la Universidad Tecnológica

Indoamerica, me gradué como Ingeniero en Sistemas; y ahora tengo el

honor de obtener el título de Magister en Gestión Informática Empresarial,

otorgado por la prestigiosa Universidad Central del Ecuador.

En el ámbito laboral y profesional lo realicé en la culminación de mis

estudios superiores, lo que me permitió desarrollarme en mi profesión, por

lo que trabaje en algunas instituciones privadas, enfocándome en Soporte a

Usuarios, Desarrollo de Proyectos informáticos. La mayor parte de mi

experiencia la tuve en el sector público aportando con mis conocimientos

en ámbito como seguridad de la información, en el área de Evaluaciones

de Seguridad Informáticas y actualmente en el área de Programación y

Normativa de Seguridad de la Información.

UNIVERSIDAD CENTRAL DEL ECUADOR - Repositorio …€¦ · · 2015-06-112.2.4 nte inen - iso/iec...

Documents

Transcript of UNIVERSIDAD CENTRAL DEL ECUADOR - Repositorio …€¦ · · 2015-06-112.2.4 nte inen - iso/iec...