Business">
Plan de Seguridad
Plan de Seguridad
Plan de Seguridad
Certifico que el presente trabajo fue desarrollado por Edison Gerardo Granada
Gualotuña, bajo mi supervisión.
I
DECLARACIÓN
Yo, Edison Gerardo Granada Gualotuña, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentada para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluyen en este documento.
II
DEDICATORIA
A mi madre Rosita
A ti madrecita que siempre estuviste empujándome cuando quería botar la toalla,
eres la única que creyó en mi incondicionalmente, a pesar de mis errores, mis malos
momentos, las angustias y las malas decisiones siempre estás aquí para
darme ánimos y apoyarme incondicionalmente. Por ti mi Rosita linda llegue hasta
aquí y sé que me vas a seguir apoyando para más, porque sabes que puedo seguir
haciendo más cosas grandes, no lo olvides esta meta cumplida es más tuya que
mía, eres la súper mamá.
A ti padre Rodolfo
A pesar de las cosas que han pasado en nuestra vida no te juzgo padre ya que si
no me hubieras enseñado desde pequeño ese bello oficio muchas de las cosas que
tengo no existieran solo puedo decir pai.
A ti hermano Bladimir y cuñado Marco
Donde quieran que estén esta meta es para ustedes siempre tengo presente
sus últimas palabras.
III
AGRADECIMIENTO
A ustedes padres por apoyarme en este largo camino, muchas de las cosas que
pase en la universidad es gracias a su apoyo, que ayudaron a levantarme cada vez
que caía y no quería pararme, sin ustedes esto no hubiese sido posible.
A todos los ingenieros que tuve a lo largo de la carrera, dejaron en mi un granito de
arena tanto en lo profesional y como saber ser persona ante todas las cosas.
Gracias Ing. Wiliam por haberme ayudado a dar este paso final en la carrera.
A ti Ennovi, como tú dices las personas se cruzan por algo en nuestras vidas y doy
las gracias por ello, ya que en algunas veces me sentí derrotado y tú estabas ahí
para darme palabras de aliento. Te agradezco por llegar a mi vida y darme
este último empujo en esto, también por guiarme en esta etapa de verdad q naciste
para ser profe.
A todos mis amig@s que fueron parte de esta etapa académica, gracias por
permitirme vivir cosas buenas y cosas malas que son de las que uno aprende más.
A todos los que fueron parte de ese gran equipo llamado QUITAPENAS, el futbol
fue parte fundamental en mi vida estudiantil agradezco por permitirme jugar a su
lado.
IV
ÍNDICE DE CONTENIDO
DECLARACIÓN ............................................................................................................................... II
DEDICATORIA ............................................................................................................................... III
AGRADECIMIENTO ...................................................................................................................... IV
ÍNDICE DE CONTENIDO............................................................................................................... V
ÍNDICE DE FIGURAS .................................................................................................................... VI
ÍNDICE DE TABLAS ............................................................................................................................ VII
RESUMEN ..................................................................................................................................... VIII
ABSTRACT ...................................................................................................................................... X
1 INTRODUCCIÓN ............................................................................................................. 1
1.1 Planteamiento de Problema................................................................................ 1
1.2 Objetivos ............................................................................................................ 2
1.2.1 Objetivo General ................................................................................................. 2
1.2.2 Objetivos Específicos ......................................................................................... 2
1.3 Alcance............................................................................................................... 2
1.4 Reconocimiento de la Entidad Financiera ........................................................... 3
1.4.1 Historia ............................................................................................................... 3
1.4.2 Plan Estratégico ................................................................................................. 4
1.4.2.1 Misión ................................................................................................................. 4
1.4.2.2 Visión.................................................................................................................. 4
1.4.2.3 Valores ............................................................................................................... 4
1.4.2.4 Política................................................................................................................ 5
1.4.2.5 Objetivos ............................................................................................................ 5
1.4.2.6 Servicios ............................................................................................................. 6
1.4.3 Estructura organizacional de la Institución Financiera ........................................ 7
1.4.3.1 Organigrama....................................................................................................... 7
1.4.4 Departamento de Tecnología (TIC) .................................................................... 9
1.4.4.1 Plan Estratégico del departamento ..................................................................... 9
1.4.4.1.1 Misión ................................................................................................................. 9
1.4.4.1.2 Visión.................................................................................................................. 9
1.4.4.1.3 Valores ............................................................................................................... 9
1.4.4.1.4 Responsabilidades ............................................................................................. 9
1.4.4.2 Estructura organizacional del departamento ......................................................11
1.4.4.3 Recurso humano ...............................................................................................12
1.4.4.4 Componentes del Departamento de Tecnología ................................................12
1.4.4.4.1 Aplicaciones de Software...................................................................................12
1.4.4.4.2 Servidores .........................................................................................................14
1.4.4.4.3 Red ....................................................................................................................15
1.5 Selección de metodología y uso de estándar.....................................................17
1.5.1 Metodologías para la evaluación y gestión de riesgos .......................................17
1.5.1.1 RISK IT ..............................................................................................................18
1.5.1.2 MAGERIT ..........................................................................................................18
1.5.1.3 OCTAVE............................................................................................................18
1.5.1.4 NIST 800-30 ......................................................................................................18
1.5.1.5 Selección de metodología..................................................................................19
1.5.2 Norma NTE INEN-ISO/IEC 27001:2011 ............................................................21
1.6 Situación actual de la seguridad de la información ............................................21
1.6.1 Análisis de la situación actual ............................................................................22
V
1.6.1.1 Resultados de las medidas de defensa .............................................................24
1.6.2 Estado de cumplimiento actual ..........................................................................29
2 APLICACIÓN DE LA METODOLOGÍA ..............................................................40
2.1 Análisis y evaluación de riesgos ........................................................................40
2.2 Pasos para la evaluación de riesgos según la metodología NIST SP 800-30 ....42
2.3 Evaluación de riesgos según la metodología NIST SP 800-30 ..........................46
2.3.1 Caracterización del Sistema ..............................................................................47
2.3.2 Identificación de Amenazas ...............................................................................47
2.3.3 Identificación de Vulnerabilidades ......................................................................48
2.3.4 Análisis de Controles .........................................................................................50
2.3.5 Determinación de Probabilidades ......................................................................52
2.3.6 Análisis de Impacto............................................................................................52
2.3.7 Determinación del Riesgo ..................................................................................53
2.3.8 Recomendación de Controles ............................................................................57
2.3.9 Documentación de Resultados ..........................................................................65
3 RESULTADOS Y DISCUSIÓN ..........................................................................65
3.1 Plan de Gestión de Seguridad de la Información ...............................................65
3.2 Alcance y Limites de SGSI ................................................................................67
3.3 Elaboración del Plan de Gestión de Seguridad de la Información. .....................67
3.4 Guía de Implementación ....................................................................................70
3.5 Aplicabilidad de la propuesta .............................................................................71
4 CONCLUSIONES Y RECOMENDACIONES .....................................................75
4.1 Conclusiones .....................................................................................................75
4.2 Recomendaciones .............................................................................................77
5 REFERENCIAS BIBLIOGRÁFICAS ...................................................................79
ÍNDICE DE FIGURAS
VI
Figura 1.16: Porcentaje de cumplimiento del dominio Gestión de Comunicaciones y
Operaciones. .................................................................................................................................. 36
Figura 1.17: Porcentaje de cumplimiento del dominio Control de Acceso. .......................... 37
Figura 1.18: Porcentaje de cumplimiento del dominio Adquisición, Desarrollo y
Mantenimiento de los Sistemas de información. ...................................................................... 38
Figura 1.19: Porcentaje de cumplimiento del dominio Gestión de Incidentes de Seguridad
de la Información. .......................................................................................................................... 39
Figura 1.20: Porcentaje de cumplimiento del dominio Gestión de la Continuidad del
Negocio. .......................................................................................................................................... 39
Figura 1.21: Porcentaje de cumplimiento del dominio Cumplimiento. .................................. 40
Figura 2.1: Proceso de análisis y evaluación de riesgos NIST SP 800-30 .......................... 41
Figura 2.2: Porcentaje de riesgos encontrados ........................................................................ 56
Figura 2.3: Número de riesgos según tipo de amenaza. ........................................................ 56
Figura 3.1: Modelo PDCA aplicado a los procesos del SGSI. ............................................... 66
ÍNDICE DE TABLAS
Tabla 1.1: Servicios que ofrece la Cooperativa de Ahorro y Crédito Kullki Wasi .................. 6
Tabla 1.2: Responsabilidades del Departamento de Tecnología .......................................... 10
Tabla 1.3: Recurso humano del Departamento de Tecnología. ............................................ 12
Tabla 1.4: Características del servidor que aloja el MicroScore ............................................ 13
Tabla 1.5: Características del servidor que aloja las Ventanillas Móviles ............................ 13
Tabla 1.6: Características del servidor que aloja los Cajeros Automáticos ......................... 13
Tabla 1.7: Características del servidor que aloja el Sistema Financiero .............................. 14
Tabla 1.8: Inventario de servidores ............................................................................................ 14
Tabla 1.9: Matriz de Estado de Cumplimiento Actual por Dominio. ...................................... 30
Tabla 2.1: Definición de la Probabilidad de ocurrencia de amenaza .................................... 43
Tabla 2.2: Definición del Impacto según la disponibilidad, integridad y confidencialidad .. 44
Tabla 2.3: Valoración del impacto............................................................................................... 45
Tabla 2.4: Matriz de nivel de Riesgo .......................................................................................... 46
Tabla 2.5: Identificación de amenazas. ..................................................................................... 47
Tabla 2.6: Identificación de vulnerabilidades. ........................................................................... 48
Tabla 2.7: Controles existentes ................................................................................................... 51
Tabla 2.8: Ejemplo Determinación de Probabilidad de la Amenaza. .................................... 52
Tabla 2.9: Ejemplo Análisis de Impacto de la Vulnerabilidad................................................. 53
Tabla 2.10: Ejemplo Matriz de Riesgos. .................................................................................... 54
Tabla 2.11: Criterios de seguridad .............................................................................................. 57
Tabla 2.12: Selección de controles............................................................................................. 59
Tabla 2.13: Mapeo de los controles seleccionados de la NTE INEN-ISO/IEC 27001 con
los Criterios de Seguridad de la NIST 800-30 .......................................................................... 63
Tabla 3.1: Fases y Entregables del Plan de Seguridad de la Información. ......................... 68
Tabla 3.2: Guía de Implementación del SGSI .......................................................................... 70
Tabla 3.3: Estado de Cumplimiento Esperado ......................................................................... 72
Tabla 3.4: Comparación del cumplimiento actual y el cumplimiento esperado ................... 72
VII
RESUMEN
Actualmente, la Cooperativa de Ahorro y Crédito Kullki Wasi no cuenta con un plan
de Gestión de la Seguridad de la Información, lo que ha provocado que no se lleve
un manejo formal y seguro de la información sensible a la entidad. Por ello se
plantea el presente proyecto de titulación, que consta de cuatro partes, las cuales
se describen a continuación:
Parte Introducción: consta de seis secciones. En la primera sección se realiza el
planteamiento del problema en cuanto a la gestión de la seguridad de la
información, la segunda sección establece los objetivos del proyecto de titulación
mismos que pretenden ayudar a la entidad en la mejora la Gestión de la Seguridad
de la Información, la tercera sección define el alcance que tendrá el proyecto de
titulación, en la cuarta sección se realiza el reconocimiento de la entidad partiendo
del plan estratégico de la misma y con mayor detalle sobre el Departamento de
Tecnología, la quinta sección está dedicada a la selección y justificación de la
norma y estándar con los que se llevará a cabo el presente proyecto de titulación.
Por último, la sexta sección en la que se realiza el diagnóstico de la situación actual
de la entidad (apoyado en las herramientas MSAT y check list) en base a la norma
NTE INEN-ISO/IEC 27001.
VIII
de la Información de acuerdo a la norma NTE INEN-ISO/27001, la segunda sección
define el alcance y límites del plan del presente proyecto de titulación, en la tercera
sección se muestran las fases que se deben cumplir para la elaboración del plan
de Gestión de Seguridad de la Información con los entregables generados a lo largo
de la elaboración de dicho plan y de acuerdo a lo que plantea la norma, en la cuarta
sección se plantea una guía de implementación a llevarse a cabo si las autoridades
de la entidad aceptan la ejecución del presente plan y finalmente en la sección cinco
se realiza la aplicabilidad de la propuesta comparando el estado del cumplimiento
actual con el estado del cumplimiento esperado.
IX
ABSTRACT
Nowadays, Cooperativa de Ahorro y Crédito Kullki Wasi doesn’t have an Information
Security Management plan, which has promoted an informal and not save
management of the important information of the company. Hence, this project is
posed, that consist in four parts which are described below:
Introduction part: consists in six sections. The first one sets the problem regarding
the information security management, the second section sets the objective of the
project which pretend to help the company to improve the information security
management, the third section defines the scope of the project, in the fourth section
a inspection of the company is made starting with its strategic plan and with more
detail about the Technology Department, the fifth section is dedicated to the
selections and justifying the policy and standard with which this project will be carry
out. Finally, the sixth section makes a diagnosis on the current situation (supported
by MSAT and check list tools) based on the NTE INEN-ISO/IEC 27001 standard.
Methodology application part: this part is divided into three sections dedicated to the
evaluation of the security information risks. The first section is about the action plan
to analyze risks, the second section describes each step followed according to NIST
800-30 and the third section presents the performance of the risk analysis, in which
the possible threats and vulnerabilities that the critical assets are exposed to are
identified, supported by tools such as Nessus Nmap and the check list, getting as a
result the risk matrix and so the treatment plan and select the controls that the NTE
INEN-ISO/27001 proposes and considering the NIST 800-30 security criteria to
finally show results obtained in the risk assessment.
Results and discussion part: involves the guidelines that should be carried out to the
implantation of the selected controls and consists in five sections. The first one
shows what an Information Security Management System consists of according to
the NTE INEN-ISO/27001 standard, the second section define the scope and limits
of this project, in the third section, it is shown the phases that should be
accomplished to make the Information Security Management plan with the
deliverables done throughout the elaboration of the plan and according to what the
standard sets, in the fourth section, it is set an implementation guide to be carried
out if the company authorities accept the performance of the mentioned plan and
finally, in the fifth section the applicability of the proposal is done by comparing the
current accomplishment state with the expected.
X
Conclusions and recommendations part: consists in the conclusions and
recommendations obtained by the author of the project, which emphasize the most
important points that should be considered in the company and users as well
XI
1 INTRODUCCIÓN
1.1 Planteamiento de Problema
La información es uno de los recursos importantes en las organizaciones, pues de
ella depende no solo la base del negocio, sino el logro de los objetivos a mediano
o largo plazo, debido a que la información permite la toma de decisiones. Esta es
una de las razones por las cuales, actualmente todas las empresas deberían
realizar una apropiada gestión de riesgos, permitiéndoles de esa forma conocer
las vulnerabilidades que poseen, las amenazas a las que se encuentran expuestas
y el tamaño del riesgo que tendrían de no realizar control alguno [1].
1
Crédito Kullki Wasi” basando en la serie de estándares ISO/IEC 27000, lo que le
permitirá a la entidad tener definido políticas para que la seguridad de la
información se gestione de mejor manera y dar una guía inicial para el
cumplimiento las resoluciones emitidas.
1.2 Objetivos
1.2.1 Objetivo General
Diseñar un plan de gestión de seguridad de la información para el área de
Tecnologías de la Información para la Cooperativa de Ahorro y Crédito Kullki Wasi.
1.3 Alcance
El objetivo inicial del presente proyecto de titulación permitirá conocer las
deficiencias actuales sobre el nivel de seguridad de la información de la entidad
basándose en entrevistas, evaluación de documentos y/o información
proporcionada por la cooperativa para posteriormente, junto con la metodología,
determinar los riesgos y el estado de la seguridad en relación a la norma NTE INEN-
ISO/IEC 27001:2011, basándose en los resultados obtenidos se identificará los
controles de seguridad apropiados acorde a las necesidades del negocio; para
finalmente diseñar un plan de Sistema de Gestión de la Seguridad de la Información
(SGSI) proponiendo una secuencia de actividades que podrían ser realizadas en la
entidad el momento que dispongan de la implementación del mismo. Cabe
mencionar que la implementación no será parte del presente proyecto de titulación.
2
1.4 Reconocimiento de la Entidad Financiera
La Cooperativa de Ahorro y Crédito Kullki Wasi, regulada por la Superintendencia
de Economía Popular y Solidaria, fue creada en enero de 2003 mediante acuerdo
ministerial número N° 6582 en la Provincia de Tungurahua. Instituida como una
entidad financiera Indígena y privada que impulsa el desarrollo socio económico de
la población rural y urbana marginal, especializada en microfinanzas, con domicilio
matriz ubicado en la cuidad de Ambato (Juan B. Vela y Martínez, Esquina). Hoy
cuenta con más de 60.000 socios [2].
1.4.1 Historia
En el año 2002 dirigentes de Chibuleo, Salasaca y Pilahuin (12 personas) se reúnen
con la idea de conformar una cooperativa de ahorro y crédito a la que llamarían
“Kullki Wasi”, que en kichwa signfica la Casa de Dinero. Estos 12 socios deciden
en primera instancia aportar $ 40,00 dólares cada uno para certificado de
aportación, pero posteriormente se toma la resolución de que cada socio fundador
deberá contribuir con $1000 dólares, monto que serviría para capitalizar a la
cooperativa y servir a los socios ahorristas, a través del otorgamiento de créditos
mejorando la calidad de vida de los asociados y la comunidad.
3
diferentes agencias (Salcedo, Latacunga, Riobamba y Pillaro), cada una con su
respectiva máquina a la que llamaban “servidor”, donde el jefe de agencia realizaba
inicio y fin del día. En relación a la seguridad de la información, se llevaba a cabo
un respaldo cada hora diariamente puesto que se administraba una base de datos
propia para que cada fin de mes consolidara el balance. En cuanto a la
comunicación para depósitos y retiros entre agencias se lo realizaba mediante
llamadas telefónicas y registros en Excel para que al fin de mes las encargadas de
bóveda realizaran la transferencia. Posteriormente la comunicación se realizaba vía
modem para envió de información diaria.
1.4.2.2 Visión
“Ser una cooperativa del segmento uno, rentable, sostenible y con enfoque
intercultural, basado en valores de calidad y servicio” [2].
1.4.2.3 Valores
En la Cooperativa de Ahorro y Crédito Kullki Wasi se practica los siguientes
valores:
Transparencia
Honestidad
Compromiso
4
Pasión
Integridad
Justicia
Solidaridad
Excelencia
Respeto
Responsabilidad Social
Trabajo en Equipo [8].
1.4.2.4 Política
Desarrollo integral del asociado
Fomento de la economía solidaria.
Identificación y apoyo constante a nuevos sectores empresariales
emergentes.
Desarrollo permanente de productos competitivos de calidad.
Transparencia en la información de actividades desarrolladas por la
Cooperativa [8].
1.4.2.5 Objetivos
Financieros
Alcanzar una cartera en riesgo menor al 8% con una cobertura de
provisiones mayor al 100%.
Alcanzar una Rentabilidad sobre Activos mayor al 2%.
Clientes
Incrementar las captaciones en al menos $ 6,5 millones a fin de ubicarse en
el segmento 1
Incrementar la satisfacción de los clientes, atendiendo sus requerimientos
de crédito en menos de 3 días y resolviendo el 100% de las quejas en menos
de 72 horas.
Procesos
Fortalecer el sistema de control interno, con 100% de los procesos críticos
levantados y controlados.
5
Tecnología: Implementar servicios transaccionales online y garantizar
continuidad de operaciones financieras de al menos el 98% en tiempo de
servicio.
Aprendizaje y Conocimiento
Fortalecer las competencias del personal: al menos el 50% del personal de
apoyo tendrá título profesional de tercer nivel; 80% del personal de negocios
tendrá título profesional al 2021 [8].
1.4.2.6 Servicios
La
Tabla 1.1 describe los servicios que la Cooperativa Kullki Wasi ofrece a la
comunidad.
Tabla 1.1: Servicios que ofrece la Cooperativa de Ahorro y Crédito Kullki Wasi
Servicios financieros
Este servicio refleja el saldo proveniente de las transacciones realizadas,
en realidad no es una forma de ahorro sino un sistema para mantener el
Ahorro a la Vista
dinero al cuidado de la cooperativa. El dinero está disponible tanto en
ventanilla como en el servicio de cajeros automáticos.
Servicio 100% garantizado y seguro de la visita de un asesor hasta el
lugar en el que se encuentre el socio de Ahorro a la Vista como una
Ahorro a Domicilio
alternativa de depósito para aquellos socios que no pueden movilizarse
a las diferentes agencias de la cooperativa.
Cuenta Amigo "La Se trata del servicio ahorro infantil, y es una cuenta de ahorros especial
Hormiguita" dirigida a los menores de edad.
“Mi Kullki Futuro” es un ahorro contractual periódico a corto y largo plazo
Plan Ahorro Plus mediante el ahorro programado. El tiempo definido para este servicio es
Familiar por más de un año y el dinero e intereses estarán disponible luego de
haber culminado el contrato. El interés es acumulativo al capital.
Alternativa de inversión, donde el dinero trabaja por el socio y se puede
Inversión Plazo Fijo
realizar depósitos a corto, mediano y largo plazo.
Se ofrece una variedad de créditos a los asociados, con una cantidad de
Créditos dinero hasta un límite especificado y durante un período de tiempo
determinado.
6
Seguro que paga el valor inicial de la deuda pendiente a la fecha de
Seguro de
fallecimiento del deudor o del cónyuge o en el caso de invalides de por
Desgravamen con
vida. EQUIVIDA paga el préstamo a la cooperativa acreedor, evitando
EQUIVIDA
que la familia asuma la deuda.
En el instante en el que el socio fallezca por cualquier causa este tipo de
Seguro Exequial
seguro pagara el valor de 1200.00.
Cajeros El dinero está disponible las 24 horas en los 365 días del año en todos
Automáticos los cajeros automáticos a nivel nacional y/o sistema de BAN RED.
Servicios Cooperativos
Como un complemento la cooperativa de ahorro y crédito KULLKI WASI posee alianzas
estratégicas con varias instituciones público, privadas y financieras facilitando a los socios
servicios adicionales de cobro y pago para: SUPA, Bono de desarrollo humano, IESS,
matriculación vehicular, planes celulares y recargas, servicios básicos, impuestos, western union
y catálogos.
Fuente: Elaborado por el autor en base a información del documento Catálogo de Servicios.
7
Figura 1.1: Organigrama de la Cooperativa de Ahorro y Crédito Kullki Wasi.
Fuente: Cooperativa de Ahorro y Crédito Kullki Wasi-Organigrama
8
1.4.4 Departamento de Tecnología (TIC)
Encargado de brindar un óptimo servicio de Tecnologías de Información y
Telecomunicaciones, resguardando y gestionando eficientemente la plataforma
tecnológica de la entidad financiera para satisfacer las necesidades de los usuarios
y expectativas del negocio.
1.4.4.1.2 Visión
Ser un área estratégica de apoyo a todos los procesos de la cooperativa enfocada
en servicios y soluciones de excelencia para los usuarios, con tecnología de
vanguardia.
1.4.4.1.3 Valores
El Departamento de Tecnología de la Cooperativa de Ahorro y Crédito Kullki Wasi
practica los siguientes valores:
Responsabilidad
Honestidad
Respeto
Confidencialidad
Compromiso
Proactividad
Vocación de servicio
Trabajo en equipo
1.4.4.1.4 Responsabilidades
La Tabla 1.2 que se muestra a continuación presenta las responsabilidades que
tiene el departamento de tecnología ante el hardware y software.
9
Tabla 1.2: Responsabilidades del Departamento de Tecnología
Hardware Software
Vigilar y llevar un inventario detallado de la Restringir el acceso a los equipos tecnológicos
infraestructura de Hardware acorde con las fuera de horario de trabajo, a aquellos usuarios
necesidades existentes. que no cuenten con una autorización previa de
su superior inmediato para laborar fuera de
horario.
Ser el único responsable de hacer Llevar inventario del software (programas)
requerimientos de los activos informáticos que instalados en la Cooperativa.
hayan sido proyectados, según las
necesidades que se presenten en cada área
de trabajo.
Determinar la vida útil de los equipos de Velar porque todo el software instalado este
informática, con la finalidad de optimizar su legalmente licenciado.
uso.
Participar en los contratos de adquisición de Custodiar y almacenar todos los programas
bienes y/o servicios, donde se incluyan informáticos de la Cooperativa.
equipos informáticos, enlaces, o de soporte
técnico referente a su área como parte
integrante o complementaria de otros.
Confirmar que los equipos de informática Definir los discos de Red de todas las áreas,
cumplan con las especificaciones técnicas para poder fragmentar el acceso a la
indicadas en las solicitudes de compra, de no información y una mejor organización.
ser así se encargará de la devolución de los
mismos.
Realizar el mantenimiento técnico preventivo Establecer configuraciones automatizadas para
de todos los equipos informáticos. que los usuarios guarden toda su información en
los discos de red y se puedan facilitar las copias
de seguridad (backup).
Instalar los equipos tecnológicos. Verificar los programas informáticos que sean
instalados, con la finalidad de llevar un control
de los mismos.
Evaluar el área física donde se instalará un Instalar todas las aplicaciones de los equipos y
programas informáticos utilizados por la
nuevo equipo informático, confirmando que el
Cooperativa.
área este óptima para la instalación de los
mismos.
Verificar que los equipos tecnológicos tengan:
disponibilidad de energía eléctrica, cableado
10
estructurado y mantengan las condiciones
físicas aceptables y adecuada de temperatura,
entre otros.
Presentar la proforma presupuestaria
necesaria al Departamento Financiero en
forma anua (hasta octubre de cada año).
Velar por el adecuado uso de las instalaciones
eléctricas requerida para el funcionamiento de
los equipos tecnológicos.
Verificar el inventario de l equipos, con la
finalidad de llevar un control de estos.
Instruir al usuario sobre el uso y manejo
adecuado de los equipos y programas
informáticos instalados.
Verificar que los programas de computadoras
suministren los manuales correspondientes al
funcionamiento de los equipos o programas
especializados.
Fuente: Elaborado por el autor en base a información del documento manual de tecnología de la
información.
11
1.4.4.3 Recurso humano
La Tabla 1.3 muestra el personal con el que cuenta actualmente el Departamento
de Tecnología.
Fuente: Elaborado por el autor en base a información proporciona por el Jefe del Departamento de
Tecnología.
MicroScore
Es el aplicativo encargado de la evaluación crediticia, es decir, en base a variables
de perfil, actividad productiva, capacidad de pago, comportamiento de pago entre
otras variables determinadas por la entidad y conforme a las políticas y niveles de
12
riesgo asumidos se evalúa la criticidad del otorgamiento de un crédito; manejando
la información de un posible sujeto de crédito.
Fuente: Elaborado por el autor en base a información proporciona por el Jefe del Departamento de
Tecnología.
Ventanillas Móviles
Web services de ventanillas móviles (de cara al Internet), es decir aloja todos
aquellos servicios (depósitos de ahorro a la vista) que el asesor requiere al
momento de trasladarse hasta el socio que no puede acercarse a alguna agencia
de la entidad. En otras palabras, es el servicio que permite a los asesores llevar
consigo el aplicativo tanto en los teléfonos celulares como el las tablets para poder
brindar el servicio de “Ahorro a Domicilio”.
Tabla 1.5: Características del servidor que aloja las Ventanillas Móviles
Fuente: Elaborado por el autor en base a información proporciona por el Jefe del Departamento de
Tecnología.
Cajeros Automáticos
Servicio de cajeros, mismo que realiza la generación de llaves y encriptación de
tarjetas de débito. Permite el enlace con el switch “Conecte” para lograr la
transacción de acuerdo a la solicitud del cliente.
Tabla 1.6: Características del servidor que aloja los Cajeros Automáticos
Sistema
IP Características
Operativo
Cajeros Windows server Procesador: Intel Core 2 Quad 2,66GHz
192.168.X.X
Automáticos 2008 R2 RAM: 4 GB
13
iPXE 1.0.0+ HCM 64bits
Disco:
99.9 GB Sistema operativo.
198 GB Servicios de conecte
Fuente: Elaborado por el autor en base a información proporciona por el Jefe del Departamento de
Tecnología.
Financiero
Sistema
IP Características
Operativo
Procesador: IBM BLEI CENTER, ZEON
2.3 GHz
Aplicaciones RAM: 16 GB
Microsoft Window 64 bits
192.168.X.X
Server 2008 R2 Disco:
135 GB Sistema Operativo
558 GB Score financiero.
931GB Archivos.
Fuente: Elaborado por el autor en base a información proporciona por el Jefe del Departamento de
Tecnología.
Cabe mencionar que el servidor que aloja las aplicaciones financieras también es
utilizado para alojar el registro del biométrico, servicios de imágenes de conexión y
el Excel financiero.
1.4.4.4.2 Servidores
Además de los servidores que alojan los aplicativos descritos anteriormente, el
Departamento de Tecnología tiene a su responsabilidad los servidores que se
encuentran en la Tabla 1.8.
14
momentáneos backup.
558GB Guardar
respaldos
182GB Sistema
Operativo
2 Contingencia 192.168.X.X Servidor donde se Microsoft Máquina virtual
carga los respaldos de Windows Procesador: Intel Zeon
datos. Server 2012 2.2GHz
Base de desarrollo R2 RAM: 24GB
64 bits
Disco:
699 GB Sistema
operativo y base de
datos
Fuente: Elaborado por el autor en base a información proporciona por el Jefe del Departamento de
Tecnología.
1.4.4.4.3 Red
El departamento de Tecnología se encuentra en el tercer piso del edificio matriz. La
Figura 1.3 muestra la topología de red WAN y la Figura 1.4 muestra la topología LAN
de la entidad.
15
Figura 1.4: Red LAN de Cooperativa de Ahorro y Crédito Kullki Wasi
Fuente: Cooperativa de Ahorro y Crédito Kullki Wasi-Topología
16
Para el enlace de datos se cuenta con: antenas propias de16MB como enlace
principal, fibra óptica de 5MB de Telconet como enlace secundario (oficinas tanto
datos e Internet) y CNT como backup de conexión a Internet.
17
1.5.1.1 RISK IT
1.5.1.2 MAGERIT
Publicada por el Consejo Superior de Administración Electrónica, es una
metodología de análisis y gestión de riesgos de los Sistemas de Información
diseñada para minimizar los riesgos de la implantación y uso de las Tecnologías de
la Información, responde a lo que se denomina “Proceso de Gestión de los Riesgos”
en otras palabras, esta metodología implementa el Proceso de Gestión de Riesgos
dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones
sin olvidar los riesgos que provienen del uso de tecnologías de la información [10].
1.5.1.3 OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation, publicada por la
Universidad Carnegie Mellon, es una metodología que estudia los riesgos en base
a los objetivos de seguridad (Confidencialidad, Integridad y Disponibilidad), esta
metodología comúnmente es utilizada por agencias gubernamentales. OCTAVE
estudia la infraestructura de información y la manera en que esta es usada.
18
1.5.1.5 Selección de metodología
19
Para poder observar de mejor manera la metodología que posee mayor
correspondencia con los elementos de TI a continuación se presenta la Figura 1.6.
20
1.5.2 Norma NTE INEN-ISO/IEC 27001:2011
La información es el activo más importante que posee una organización,
mayormente hablando de una entidad financiera, por ello el resguardo y correcto
manejo de esta es de suma importancia, debido a esto se puede afirmar que uno
de los objetivos principales dentro de las organizaciones es la seguridad de la
información fundamentado en una buena gestión mediante un sistema que tenga
metodología y documentación basada en objetivos de seguridad y evaluación de
riesgos, alineados con los objetivos del negocio. Para lograr lo dicho se utiliza
estándares que se encuentran regulados por organizaciones especializas en el
tema, estos estándares se denominan Norma ISO.
21
evaluación que brindan las herramientas Microsoft Security Assessment Tool
(MSAT) y Check List de Auditoria “Manejo de Seguridad de la Información”. Esta
información permitirá conocer la situación actual y estado de cumplimiento basado
en el estándar NTE INEN-ISO/IEC 27001 para conocer los problemas de la
seguridad de la información que posee la entidad.
1
BRP: medición del riesgo relacionado al modelo empresarial y al sector de la empresa
2
AoAs: infraestructura, aplicaciones, operaciones y personal.
3
DiDI: medición de las defensas de seguridad utilizadas en el personal, los procesos y la tecnología para
ayudar a reducir los riesgos identificados en una empresa.
22
Figura 1.7: Resultados obtenidos de BRP y DiDI.
Fuente: Informe de la Herramienta MSAT (ANEXO II - Resultado de Medidas de Defensa MSAT).
Una puntuación alta en el BRP significa un aumento del posible riesgo al que está
expuesta la organización según el área evaluada. Mientras que una puntuación alta
en el DiDI significa un entorno donde se han tomado más medidas para
implementar estrategias de defensa en profundidad según el área evaluada, sin
embargo, no indica la eficacia general de la seguridad ni siquiera la cantidad de
recursos para la misma, sino que cuantifica la estrategia global que se utiliza para
defender el entorno. Cuando ambos valores son comparados se obtiene la
distribución de defensa del riesgo. Una disparidad significativa entre el BRP y el
DiDI indica que la estrategia de seguridad del negocio no es la adecuada
produciendo un ambiente de vulnerabilidad dentro de este.
Por otro lado, la herramienta MSAT muestra la madurez de la seguridad que incluye
controles físicos, técnicos, competencia técnica de los recursos informáticos, las
directivas, los procesos y las prácticas sostenibles. Este nivel permite comparar las
prácticas de seguridad que posee la entidad contra las mejores prácticas de la
industria para que se pueda alinear las prácticas de seguridad con la realidad del
negocio. Cada entidad debe esforzarse en alinear su nivel de madurez y estrategia
de seguridad, en relación a los riesgos se su actividad comercial. Los posibles
niveles de madurez son:
Básica: algunas medidas eficaces de seguridad utilizadas como primer
escudo protector; respuesta de operaciones e incidentes aún muy reactiva.
23
Estándar: Capas múltiples de defensa utilizadas para respaldar una
estrategia definida.
Optimizada: Protección efectiva de los asuntos de forma correcta y garantía
de la utilización del mantenimiento de las mejores prácticas recomendadas
La Figura 1.8 muestra los resultados de distribución de defensa del riesgo y el nivel
de madurez de la seguridad4 del negocio.
4
Madurez de la seguridad: medición de la capacidad de la empresa para utilizar de forma eficaz las
herramientas disponibles de forma que se cree un nivel de seguridad sostenible a lo largo de diversas
disciplinas.
24
Figura 1.9: Resultados de las medidas de defensa
Fuente: Informe de la Herramienta MSAT (ANEXO II - Resultado de Medidas de Defensa MSAT).
25
A continuación, se presenta un resumen de los resultados de las medidas de
defensa por cada área de análisis. El informe completo de la evaluación de la
herramienta MSAT se encuentra en el ANEXO II - Resultado de Medidas de
Defensa MSAT.
Infraestructura
Esta área analiza el funcionamiento de la red, los procesos comerciales (internos
externos) que debe favorecer, como se construye y utiliza los hosts, y la gestión y
el almacenamiento efectivo de la red. Al diseñar una infraestructura que todos
puedan comprender y seguir, la empresa podrá identificar las áreas de riesgo e
idear métodos para acabar con las amenazas.
26
Aplicaciones
Esta área estudia las aplicaciones del entorno que son esenciales para la entidad,
estas son valoradas desde el punto de vista de la seguridad y disponibilidad.
También son examinadas las tecnologías utilizadas para aumentar el índice de
defensa en profundas.
Operaciones
Esta área valora las prácticas de funcionamiento y las normas que siguen la
empresa para aumentar las estrategias de defensa en profundidad a fin de emplear
más que meras defensas tecnológicas. Estudia las áreas relacionadas con la
creación de datos en el entorno.
27
Se regulan las cuentas de los usuarios dentro del entorno.
Los diagramas lógicos de la red en el entorno son actualizados regularmente.
No existen diagramas de la arquitectura, ni del flujo de datos de las
aplicaciones.
No se regulan, ni se revisan las actualizaciones en las aplicaciones.
No existe gestión de cambios.
Se realizan backup de acuerdo a la criticidad de la información. No existe
copias de seguridad de los usuarios finales.
No existen planes de recuperación ante desastres y continuidad del negocio.
Personal
Revisa los procesos de la empresa que regulan las directivas de seguridad
corporativa, los procesos de recursos humanos, así como la formación y el grado
de conocimiento de los empleados sobre la seguridad. También se centra en la
seguridad en las operaciones diarias. Este apartado le ayuda a valorar como se
mitigan los riesgos del área personal.
28
1.6.2 Estado de cumplimiento actual
Una vez que se ha completado el Check List, que contiene los 11 dominios del
Anexo A de la norma NTE INEN-ISO/IEC 27001 con los objetivos de control y
controles (ver ANEXO III - Manejo de Seguridad de la Información NTE INEN-ISO-
IEC 27001-2011 Auditoria Check List) se tabularon los resultados de acuerdo a las
respuestas proporcionadas por el Jefe del Departamento de TI, de manera que
cuando un control se está cumpliendo correctamente se asigna el valor de “1” en la
columna “Si Cumple”, cuando el control se está cumpliendo pero no se tiene la
debida documentación o hace falta alguna actividad para cumplirlo en su totalidad
se asigna el valor de “1” en la columna “Cumple Parcialmente” y cuando el control
no se lleva a cabo dentro de la entidad se asigna el valor de “1” en la columna “No
cumple”, para luego realizar una suma de los valores “1” por cada columna y así
obtener los porcentajes de “Si cumple”, “Cumple Parcialmente ” y “No Cumple” para
cada dominio. La Figura 1.10 muestra un ejemplo de lo descrito anteriormente. Las
tablas de valoración para el análisis de los porcentajes de todos los dominios se
encuentran en el ANEXO IV - Análisis del Estado de Cumplimiento Actual según la
Norma NTE INEN-ISO-IEC 27001-2011.
29
Tabulados los resultados y obteniendo los porcentajes de cumplimiento de todos
los dominios, se elaboró la matriz de cumplimiento actual de acuerdo a la norma
NTE INEN-ISO/IEC 27001, misma que se puede observar en la Tabla 1.9.
Fuente: Elaborado por el autor en base al ANEXO IV - Análisis del Estado de Cumplimiento Actual
según la Norma NTE INEN-ISO-IEC 27001-2011
30
Actualmente la entidad cuenta con el “Manual de Tecnología de la Información”
dentro de este se define cierta política de seguridad únicamente como ítems mas
no como documentos formales, en los que se detallen explícitamente dichas
políticas, además no se realizan revisiones de los procedimientos descritos en el
mencionado manual.
Política de Seguridad
0%
Si cumple
50% 50% Cumple Parcialmente
No Cumple
Los acuerdos de confidencialidad son firmados únicamente como parte del contrato
de trabajo mas no como política de seguridad.
31
Aspectos Organizativos de la
Seguridad de la Información
9%
36% Si cumple
Cumple Parcialmente
No Cumple
55%
32
Gestión de Activos
20%
Uno de los mayores inconvenientes que se tiene cuando un empleado cesa sus
funciones, es que talento humano no notifica al departamento de tecnología dicha
salida por ello, aun cuando se tiene escrito en el manual la forma de devolución de
activos y retirada de derechos de acceso, estos no se lo realizan en el momento
adecuado.
33
Seguridad Ligada a los Recursos
Humanos
22%
33% Si cumple
Cumple Parcialmente
No Cumple
45%
Figura 1.14: Porcentaje de cumplimiento del dominio Seguridad Ligada a los Recursos
Humanos.
Fuente: Elaborado por el autor.
Todas las actividades dentro del edificio son monitoreadas mediante cámaras de
seguridad y CCTV.
34
Seguridad Física y Ambiental
0%
38% Si cumple
Cumple Parcialmente
62% No Cumple
Existe el bloqueo del acceso al internet por medio del proxy y switch, además se
manejan UTMs, firewall, antivirus y cifrados para todos los servicios de comercio
electrónico.
35
Gestión de Comunicaciones y
Operaciones
34% Si cumple
44%
Cumple Parcialmente
No Cumple
22%
36
Control de Acceso
20%
Si cumple
Cumple Parcialmente
52%
No Cumple
28%
37
Adquisición, Desarrollo y
Mantenimiento Sistemas de
información
Si cumple
13%
Cumple
Parcialmente
31% 56% No Cumple
38
Gestión de Incidentes de Seguridad
de la Información
20%
Si cumple
Cumple Parcialmente
60% 20%
No Cumple
20% Si cumple
Cumple Parcialmente
No Cumple
80%
39
A.15 Cumplimiento
Se cuenta con asistencia y asesoría jurídica para regular el cumplimiento de los
parámetros legales exigidos por los entes reguladores.
Cumplimiento
40% Si cumple
Cumple Parcialmente
60% No Cumple
0%
2 APLICACIÓN DE LA METODOLOGÍA
2.1 Análisis y evaluación de riesgos
Un análisis y evaluación de riesgos puede hacérselo de diversas formas y con
diferentes grados de detalle, esto dependerá de la metodología utilizada y el valor
que cada activo involucrado posee.
40
definición de una estrategia de seguridad, este debe estar alineado con la visión de
la entidad y su entorno operacional.
Figura 2.1.
41
2.2 Pasos para la evaluación de riesgos según la metodología
NIST SP 800-30
A continuación, se explica cada uno de los 9 pasos que conforman el proceso de
análisis y evaluación de riesgos de la NIST SP 800-30.
42
Paso 4: Análisis de Controles
Este paso permite efectuar un análisis en los controles existentes o previstos para
su aplicación, con el fin de evitar que las amenazas potenciales se materialicen en
el desarrollo de las actividades del sistema y de esta manera minimizar o eliminar
la probabilidad de amenazas en la entidad financiera.
43
Paso 6: Análisis de Impacto
El objetivo es la determinación del impacto resultante de que una amenaza se haya
materializado debido a una vulnerabilidad. Esto se logra en base al nivel de
protección requerido para mantener la disponibilidad, integridad y confidencialidad
de la información. El sistema y los propietarios de información son los responsables
de determinar el nivel de impacto, por ello es necesario que en este punto se
realicen entrevistas a los dueños5 de la información.
5
Entiéndase dueño como la persona propietaria, responsable de la información dentro de la entidad
financiera.
44
a la disponibilidad de la a la integridad de la a la confidencialidad de
información. información. la información.
Fuente: Elaborado por el autor en base a la NIST SP 800-30
vulnerabilidad.
45
Tabla 2.4: Matriz de nivel de Riesgo
Probabilidad de
ocurrencia de
1,0 10 * 1,0 = 10 50 * 1,0 = 50 100 * 1,0 = 100
amenaza
Moderado Bajo Moderado Moderado
0,5 10 * 0,5 = 5 50 * 0,5 = 25 100 * 0,5 = 50
Bajo Bajo Bajo Bajo
0,1 10 * 0,1 = 1 50 * 0,1 = 5 100 * 0,1 = 10
Bajo Moderado Alto
10 50 100
Valoración del Impacto
Fuente: Elaborado por el autor en base a la NIST SP 800-30(Tabla 3-6 Matriz de nivel de riesgo
pág. 25)
6
Entiéndase “nivel aceptable del riesgo” al valor, que después del análisis, la entidad decide la no
implementación de controles, es decir la entidad asume los daños provocados por la materialización del
riesgo.
46
Escaneo de Vulnerabilidades con Nessus y Nmap), y evaluación de puntos débiles
del entorno de seguridad de TI para los activos identificados como críticos (ver
Documento - Aprobación por parte de la entidad.).
Inundaciones
Fenómenos sísmicos
Naturales Fenómenos volcánicos
Tormentas eléctricas
47
Usuarios y/o empleados internos descontentos, negligentes,
deshonestos, cesados, etc.
Divulgación de la información.
Sobrecalentamiento de equipos
Técnicas
Manipulación del hardware y software
Incumplimiento en el mantenimiento de los activos de información
Falta o pérdida de personal
Falta de capacitación al personal
Organizacionales
Falta e inadecuada documentación
Falta o Insuficiente gestión de la seguridad de la información
Naturales
Vulnerabilidad Amenaza
No poseer un Plan de Recuperación de desastres. Inundaciones
No poseer un Plan de Continuidad del Negocio.
No poseer un Plan de Recuperación de desastres.
Fenómenos sísmicos
No se realizan periódicamente la validación del plan de evacuación.
Falta de sociabilización del plan de evacuación.
No se realizan periódicamente la validación del plan de evacuación.
No poseer un Plan de Recuperación de desastres.
Fenómenos volcánicos
No poseer un Plan de Continuidad del Negocio.
Falta de sociabilización del plan de evacuación.
Falla de la planta de energía.
Tormentas eléctricas
Falla en los reguladores de voltaje.
48
Falta de seguro en los equipos tecnológicos (que sobrepasan los 5 años de vida)
Falla en los UPS
Ambientales
Vulnerabilidad Amenaza
Falla en los UPS. Falta de energía
Falta de cometida eléctrica alterna eléctrica
Falta de plan de eliminación de equipos tecnológicos. Contaminación
Humanas
Vulnerabilidad Amenaza
No existe política que exija documentar toda actividad realizada
No posee política de entrada, salida y transferencia de información
No tienen una metodología para el ciclo de vida de desarrollo de sistemas
No poseer un proceso de revisión de cuentas administrativas inactivas, de uso Incumplimiento de las
interno, de proveedores, usuario o acceso remoto. Políticas de Seguridad
No poseer procedimientos de respuesta ante incidentes de manera formal
El personal puede enviar cualquier documentación vía correo electrónico
No poseer política de etiquetado de información
Falla de control en accesos remotos Crimen Computacional
Fuga de información a través del personal Usuarios y/o
Desconocimiento y falta de sensibilización de los usuarios y de los responsables empleados internos
de la informática descontentos,
negligentes,
Falta de conciencia en la seguridad de la información por parte del personal de la
deshonestos, cesados,
entidad
etc.
Falta de conciencia en la seguridad de la información por parte del personal de la Divulgación de la
entidad información.
Técnicas
Vulnerabilidad Amenaza
Sobrecalentamiento de
Falta de cumplimiento en cronogramas de mantenimiento
equipos
Las configuraciones de algunos servicios no se realizan tomando en cuenta la
seguridad de la información
Manipulación del
No se autoriza, prueba y aprueba debidamente todo el hardware y software hardware y software
Debilidad en el diseño de los protocolos utilizados en la red
No están identificadas las operaciones críticas y sus respaldos Incumplimiento en el
mantenimiento de los
Desactualización del software activos de información
Organizacionales
Vulnerabilidad Amenaza
Falta o pérdida de
Falta de deshabilitación de cuentas de usuarios
personal
49
El personal no ha recibido un adecuado entrenamiento para cumplir con sus
responsabilidades de seguridad
Desconocimiento y falta de sensibilización de los usuarios y de los responsables
de la informática
Falta de capacitación al
Falta de conciencia en la seguridad de la información por parte del personal de la
personal
entidad
No existe capacitación para los desarrolladores sobre seguridad
Los controles son efectuados por la experiencia más que por una política o un
procedimiento
Falta de uso de estándares para la documentación
No poseer documentación para la regulación de asignación de direcciones
TCP/IP
Falta de registro de actividades Falta e inadecuada
Las políticas de seguridad no se encuentran documentadas documentación
No tiene un plan de seguridad para la gestión de la información
Inexistencia de un manual de políticas de seguridad de la información
Falta de manuales de uso de herramientas
Falta de asignación adecuada de responsabilidades en la seguridad de la
información
No se tiene designado formalmente a un "Responsable de Seguridad Informática"
No tiene auditorias
No se realizan pruebas de hackeo
Servidores muestran versión del sistema operativo y direcciones IP Falta o Insuficiente
Falta de monitorización que verifique que los controles se están realizando y que gestión de la seguridad
están cumpliendo el propósito para el cual fueron implementados de la información
Existe compartición de claves entre los usuarios
Desconocimiento del estado actual de la seguridad de la información
Habilitación de puertos USB
Muestran dominios y grupos de trabajo
No se revisan los controles de seguridad
Actualmente la cooperativa cuenta con los controles que se listan en la Tabla 2.7.
Cabe mencionar que existen documentadas políticas que ayudarían a mitigar los
50
riesgos sin embargo estas no siempre se cumplen debido a que no existe el
monitoreo y seguimiento adecuado del cumplimiento de las mismas. Así también,
existen procedimientos que se llevan a cabo sin estar documentados formalmente,
estas actividades de control de una u otra forma logran minimizar la probabilidad
de que una amenaza ocurra. La identificación de dichos controles se basó en
entrevistas, visitas, revisión de documentos y conversaciones realizadas al
personal del Departamento de Tecnología.
51
La suite de Microsoft office cuenta con licencias, estas unicamente se
encuentran instaladas en equipos de la alta gerencia, para los demás
usuarios que lo requieran se encuentra instalado open office.
Software de detección de intrusos
Detección de intrusos Políticas de acceso de control remoto
Software de detección y eliminación de spyware
Cifrado. Uso de algoritmos de encriptación de datos.
Uso de VPNs
Segmentación en la red
Implementación de DMZ
La valoración del impacto que una amenaza ejerce sobre un activo en específico
se lo realizará mediante los criterios definidos en la Tabla 2.2, es decir el promedio
del impacto (Tabla 2.3) que puede sufrir el activo en términos de confidencialidad
(C), integridad (I) y disponibilidad (D). En el ejemplo que se presenta a continuación
(Tabla 2.9), el impacto en la disponibilidad de los servicios, de llegar a materializarse
un fenómeno volcánico y no poseer un plan de continuidad de negocio, es alto por
lo que su valoración es 3, mientras que la integridad y la confidencialidad no se
verían afectadas por lo que el impacto es bajo, es decir con una valoración de 1
52
para cada criterio, por lo tanto el impacto de la vulnerabilidad “No poseer un Plan
de Continuidad del Negocio” ante la amenaza “Fenómenos volcánicos” es 1,67 ≈ 2,
que se obtiene del promedio de los tres impactos (3+1+1)/3, 2 es Moderado por lo
tanto toma el valor de 50.
Tipo de Impacto
Amenaza Vulnerabilidad Impacto de la vulnerabilidad
amenaza D I C
No poseer un
Fenómenos Plan de
Naturales 3 1 1 1,67 ≈ 2 MODERADO 50
volcánicos Recuperación de
desastres.
53
Tabla 2.10: Ejemplo Matriz de Riesgos.
Probabilidad de Impacto
Tipo de Impacto de la Id
Amenaza Vulnerabilidad ocurrencia de la Nivel de Riesgo
amenaza D I C vulnerabilidad Riesgo
amenaza
No poseer un Plan de
Inundaciones 0,5 MODERADO 3 1 1 2 50 MODERADO 25 MODERADO R01
Recuperación de desastres.
No poseer un Plan de
3 1 1 2 50 MODERADO 50 MODERADO R02
Continuidad del Negocio.
No poseer un Plan de
3 1 1 2 50 MODERADO 50 MODERADO R03
Recuperación de desastres.
Fenómenos
1,0 ALTO
sísmicos
No se realizan periódicamente
Naturales la validación del plan de 1 1 1 1 10 BAJO 10 BAJO R04
evacuación.
No se realizan periódicamente
la validación del plan de 1 1 1 1 10 BAJO 10 BAJO R06
evacuación.
Fenómenos
1,0 ALTO
volcánicos
No poseer un Plan de
3 1 1 2 50 MODERADO 50 MODERADO R07
Recuperación de desastres.
54
No poseer un Plan de
3 1 1 2 50 MODERADO 50 MODERADO R08
Continuidad del Negocio.
55
Una vez que se tiene la matriz de riesgo se procede a realizar la Figura 2.2 (tomando
en cuenta únicamente la columna “Nivel de Riesgo”) en la cual se diferencia los
porcentajes por nivel de riesgo que posee la entidad. El color rojo representa el
nivel de riesgo alto, el color amarillo el nivel de riesgo moderado y el verde el nivel
de riesgo bajo.
Porcentaje de riesgos
0%
40% ALTO
BAJO
60%
MODERADO
Cabe mencionar, que como se puede observar no existe ningún riesgo con un nivel
de criticidad alto.
De manera similar se realiza la Figura 2.3 en la que se muestra los riesgos por tipo
de amenaza.
12
8 8
8 5
3 4 4 4
4 2
0 0 0 0 0 0
0
ALTO
ALTO
ALTO
ALTO
ALTO
MODERADO
MODERADO
MODERADO
MODERADO
MODERADO
BAJO
BAJO
BAJO
BAJO
BAJO
Tipo de amenaza
56
Queda claro que el mayor número de riesgos se concentra en aquellas amenazas
organizacionales, seguida de las humanas y naturales.
Aceptar: aquellos riesgos que den como resultado nivel BAJO serán
aceptados, es decir no es necesario la implementación de controles
inmediatos para estos riesgos. La implementación de controles para
estos riesgos podrá ser tomados en cuenta después de haber reducido
los riesgos de nivel moderado y alto.
Reducir: aquellos riesgos que den como resultado nivel MODERADO y
ALTO serán mitigados por medio de la implementación de controles,
misma que tomará un tiempo no mayor a seis meses.
Paso 2: Clasificar los riesgos de nivel MODERADO y ALTO para cada criterio de
seguridad de la NIST 800-30 según el área. La Tabla 2.11 muestra dicha
clasificación.
57
R49, R50, R52, R53, R54, R55,
R56, R58
Compromiso con la seguridad de la R48, R49, R50, R52, R53, R54,
información. R55, R56, R58
Capacitación Técnica y de seguridad. R28, R36, R37, R38, R39, R40
Controles de seguridad personal,
mínimos privilegios y acorde al cargo o R35
funciones de la persona
Distribución de datos externos y
R17, R18, R19, R20, R22, R23
etiquetado
Control de las condiciones ambientales
R01, R02, R03, R07, R08
(humedad y temperatura)
Seguridad Operacional Protección de Estaciones de trabajo,
laptops y computadoras personales R18, R30, R32
independientes.
Control de Virus o Vulnerabilidades
R17, R18, R19, R20, R22, R23
técnicas
Comunicaciones (por ejemplo, acceso
telefónico, interconexión de sistemas, R30, R32
enrutadores)
R24, R48, R49, R50, R52, R53,
Identificación y Autenticación
R54, R55, R56, R58
Seguridad Técnica
Configuración de la seguridad en los
sistemas tecnológicos de la R42, R43, R44, R45, R46
información
R48, R49, R50, R52, R53, R54,
Auditoria del Sistema
R55, R56, R58
Paso 3: Seleccionar los controles que permitirán mitigar los riesgos cuya acción es
reducir, dichos controles se los tomará de la NTE INEN-ISO/IEC 27002. Esta
selección será realizada en base a los resultados obtenidos de la determinación del
riesgo y conjuntamente con el personal del departamento de Tecnología con el
objetivo de que se adapten de mejor manera a las necesidades de la entidad.
58
Tabla 2.12: Selección de controles
Id
Amenaza Vulnerabilidad Nivel de Riesgo Control Seleccionado
Riesgo
No poseer un Plan de Continuidad A.9.1.4 Protección contra las amenazas externas y de origen ambiental.
50 MODERADO R02
Fenómenos del Negocio. A.14.1.2. Continuidad del negocio y evaluación de riesgos.
sísmicos No poseer un Plan de A.14.1.3. Desarrollo e implementación de planes de continuidad que incluyan la
50 MODERADO R03 seguridad de la información.
Recuperación de desastres.
No poseer un Plan de A.9.1.4 Protección contra las amenazas externas y de origen ambiental.
50 MODERADO R07
Fenómenos Recuperación de desastres. A.14.1.2. Continuidad del negocio y evaluación de riesgos.
volcánicos No poseer un Plan de Continuidad A.14.1.3. Desarrollo e implementación de planes de continuidad que incluyan la
50 MODERADO R08 seguridad de la información.
del Negocio.
No existe política que exija
documentar toda actividad 50 MODERADO R17
realizada
No posee política de entrada,
salida y transferencia de 50 MODERADO R18
información
No tienen una metodología para el
ciclo de vida de desarrollo de 50 MODERADO R19 A.5.1.1 Documento de la política de seguridad de la información.
A.7.2.2 Etiquetado y manejado de la información.
Incumplimiento de sistemas
A.9.2.6 Reutilización o retirada segura de equipos.
las Políticas de No poseer un proceso de revisión
A.9.2.7 Retirada de materiales propiedad de la organización.
Seguridad de cuentas administrativas A.10.7.3 Procedimientos de manipulación de la información
inactivas, de uso interno, de 50 MODERADO R20 A.12.4.1 Control del software en explotación.
proveedores, usuario o acceso
remoto.
El personal puede enviar cualquier
documentación vía correo 50 MODERADO R22
electrónico
No poseer política de etiquetado
50 MODERADO R23
de información
59
Crimen Falla de control en accesos
50 MODERADO R24 A.11.4.2 Autenticación de usuario para conexiones externas.
Computacional remotos
Falta de conciencia en la
Divulgación de la
seguridad de la información por 25 MODERADO R28 A.8.2.2 Concienciación, formación y capacitación en seguridad de la información.
información
parte del personal de la entidad
Las configuraciones de algunos
servicios no se realizan tomando
Manipulación del en cuenta la seguridad de la 25 MODERADO R30
A.7.1.3 Uso aceptable de los activos.
hardware y
información A.10.6.1 Controles de red.
software
Debilidad en el diseño de los
25 MODERADO R32
protocolos utilizados en la red
Falta o pérdida de Falta de deshabilitación de
50 MODERADO R35 A.8.3.3 Retiro de los derechos de acceso.
personal cuentas de usuarios
El personal no ha recibido un
adecuado entrenamiento para
25 MODERADO R36
cumplir con sus responsabilidades
de seguridad
Desconocimiento y falta de
sensibilización de los usuarios y
25 MODERADO R37
de los responsables de la
Falta de informática A.8.2.1 Responsabilidades de la dirección.
capacitación al Falta de conciencia en la A.8.2.2 Concienciación, formación y capacitación en seguridad de la información.
personal seguridad de la información por 25 MODERADO R38 A.13.1.2 Notificación de los puntos débiles de seguridad.
parte del personal de la entidad
No existe capacitación para los
25 MODERADO R39
desarrolladores sobre seguridad
Los controles son efectuados por
la experiencia más que por una 25 MODERADO R40
política o un procedimiento
No poseer documentación para la
regulación de asignación de 50 MODERADO R42
direcciones TCP/IP
A.5.1.1 Documento de la política de seguridad de la información.
Falta e inadecuada Falta de registro de actividades 50 MODERADO R43
A.5.1.2 Revisión de la política de la seguridad de la información.
documentación Las políticas de seguridad no se
50 MODERADO R44 A.10.1.1 Documentación de los procedimientos de operación.
encuentran documentadas
No tiene un plan de seguridad para
50 MODERADO R45
la gestión de la información
60
Inexistencia de un manual de
políticas de seguridad de la 50 MODERADO R46
información
Falta de asignación adecuada de
responsabilidades en la seguridad 50 MODERADO R48
de la información
No se tiene designado
formalmente a un "Responsable 50 MODERADO R49
de Seguridad Informática"
No tiene auditorias 50 MODERADO R50
A.5.1.1 Documento de la política de seguridad de la información.
Servidores muestran versión del A.5.1.2 Revisión de la política de la seguridad de la información.
50 MODERADO R52
sistema operativo y direcciones IP A.6.1.1 Compromiso de la Dirección con la seguridad de la información.
Falta o Insuficiente A.6.1.2 Coordinación de la seguridad de la información.
Falta de monitorización que
gestión de la A.6.1.3 Asignación de responsabilidades relativas a la seguridad de la información.
verifique que los controles se
seguridad de la A.6.1.8 Revisión independiente de la seguridad de la información.
están realizando y que están 50 MODERADO R53
información A.11.2.3 Gestión de contraseñas de usuario.
cumpliendo el propósito para el
A.11.3.1 Uso de contraseñas.
cual fueron implementados
A.15.2.1 Cumplimiento de las políticas y normas de seguridad
Existe compartición de claves A.15.3.1 Controles de auditoría de los sistemas de información.
50 MODERADO R54
entre los usuarios
Desconocimiento del estado
actual de la seguridad de la 50 MODERADO R55
información
Habilitación de puertos USB 50 MODERADO R56
No se revisan los controles de
50 MODERADO R58
seguridad
61
Paso 4: Mapear cada control seleccionado en el Paso 3 con los criterios de
seguridad de la NIST 800-30.
62
Tabla 2.13: Mapeo de los controles seleccionados de la NTE INEN-ISO/IEC 27001 con los Criterios de Seguridad de la NIST 800-30
Área de Seguridad
Control ISO 27002 Seguridad Seguridad Seguridad Criterio de Seguridad
Administrativa Operacional Técnica
Documento de la política de seguridad
A.5.1.1
de la información.
X Plan de seguridad del sistema
Coordinación de la seguridad de la
A.6.1.2
información.
X Compromiso de la seguridad de la información.
Asignación de responsabilidades
Asignación de responsabilidades y separación de
A.6.1.3 relativas a la seguridad de la X obligaciones para seguridad de la información
información.
63
Retirada de materiales propiedad de la Protección de Estaciones de trabajo, laptops y computadoras
A.9.2.7. X
organización. personales independientes.
Documentación de los procedimientos Configuración de la seguridad en los sistemas Tecnológicos
A.10.1.1
de operación.
X de la información
Comunicaciones (por ejemplo, acceso telefónico,
A.10.6.1 Controles de red. X interconexión del sistema, enrutadores)
Procedimientos de manipulación de la
A.10.7.3
información
X Distribución de datos externos y etiquetado
64
Paso 5: Realizar la propuesta de implementación de controles aplicables en la
entidad.
3 RESULTADOS Y DISCUSIÓN
3.1 Plan de Gestión de Seguridad de la Información
El Plan de Gestión de Seguridad de la Información se conformará de acuerdo a las
necesidades de la entidad, tomando en cuenta la información recopilada en los
capítulos anteriores y basándose en la norma NTE INEN ISO/IEC 27001:2011.
Un Sistema de Gestión de Seguridad de la Información (SGSI) es el diseño,
implementación y mantenimiento del conjunto de procesos para la gestión eficiente
de la información, asegurando la confidencialidad, integridad y disponibilidad de los
activos de información y minimizando los riesgos asociados a la seguridad de la
información.
La familia ISO/IEC 27000 propone un modelo para el desarrollo y mantenimiento
del SGSI, basado en el PDCA (Plan–Do–Check–Act) de mejora continua. La Figura
3.1 muestra el modelo PDCA aplicado a los procesos del SGSI.
65
Planificar (creación del SGSI): se deben definir políticas, objetivos,
procesos y procedimiento del SGSI para la gestión del riesgo y mejora de la
seguridad de la información.
Hacer (implementación y operación del SGSI): implementación y
operación de las políticas, controles, procesos y procedimientos planteados en
la planificación.
Verificar (supervisión y revisión del SGSI): evaluación y medición del
rendimiento del proceso en relación a las políticas, objetivos y experiencia del
SGSI. Además, se debe informar los resultados a la dirección para la respectiva
revisión.
Actuar (mantenimiento y mejora del SGSI): en base a los resultados de la
auditoria interna del SGSI y los comentarios de la revisión de la dirección, se
deben adoptar medidas correctivas y preventivas para lograr la mejora continua
del SGSI.
66
3.2 Alcance y Limites de SGSI
El alcance del plan de gestión de seguridad de la información para la cooperativa
de ahorro y crédito Kullki Wasi.” fue definido junto con la entidad y abarca el análisis
de los activos considerados como crítico (servidores: MicroScore, Base de Datos,
Ventanillas Móviles, Cajeros Automáticos, Aplicaciones y Contingencias) dentro de
la cooperativa y en lo que se refiere a la infraestructura tecnológica se evaluó el
Departamento de Tecnología ubicado en la matriz en la ciudad de Ambato.
67
Tabla 3.1: Fases y Entregables del Plan de Seguridad de la Información.
Documentación establecida por
Fase Objetivo Documentación generada en el proyecto de titulación
la ISO 27001
Obtención de
aprobación de la Obtener la aprobación y el compromiso de
Aprobación de la dirección para la
Dirección para la la Dirección para iniciar el proyecto de Documento - Aprobación por parte de la entidad.
iniciación del Proyecto de SGSI.
iniciación de un SGSI.
proyecto de SGSI
Definición del Documento - Plan de trabajo de titulación – Proyecto
Alcance del SGSI y Definir el alcance, los límites detallados y El alcance y límites del SGSI. integrador.
de la Política del políticas del SGSI Política del SGSI Sección 3.2 Alcance y Limites del SGSI
SGSI. Anexo XXX – Políticas del SGSI.
Sección 1.4.4.4 Infraestructura.
Sección 1.6. Situación actual de la seguridad de la
Información.
Anexo II – Resultados de Medida de Defensa MSAT
Anexo III – Manejo de la Seguridad de la Información NTE
Definir los requerimientos pertinentes para Requerimientos de seguridad de la INEN-ISO-IEC 27001-2011 Auditoria Check List
Realización del el SGSI. información. Anexo IV - Análisis del Estado de Cumplimiento Actual según
Análisis de la Identificar los activos de Información. Activos de Información. la Norma NTE INEN-ISO-IEC 27001-2011
Organización. Obtener el estado actual de la seguridad de Resultado de la evaluación de la Sección 2.3.2 Identificación de Amenazas
la información seguridad de la información Sección 2.3.3 Identificación de vulnerabilidades
Anexo V – Escaneo de Vulnerabilidades con Nessus y Nmap
Anexo VI – Análisis de Vulnerabilidades.
Sección 2.3.7 Determinación del riesgo.
Anexo VII – Matriz de Riesgos.
Anexo VIII- Documento Declaración de Aplicabilidad.
Realización de la Aprobación escrita de la dirección
Definir la metodología de evaluación de
Evaluación del para la implementación del SGSI. El presente proyecto de titulación solo contempla la fase de
riesgo; identificar, analizar y evaluar los
Riesgo y Plan de tratamiento de riesgo. planificación del SGSI.
riesgos de seguridad de la información y
planificación del Declaración de aplicabilidad, Sección 2.3.8 Recomendación de controles.
seleccionar las opciones de tratamiento del
Tratamiento del incluyendo los objetivos y los Anexo VIII- Documento Declaración de Aplicabilidad.
riesgo y los controles.
Riesgo. controles seleccionados.
Completar el plan de SGSI mediante el
diseño de la seguridad organizacional
Plan final de implementación del Sección 3.4 Guía de Implementación.
Diseño del SGSI. basándose en las opciones de tratamiento
proyecto SGSI. Sección 3.5 Aplicabilidad de la propuesta
de riesgos, los requerimientos de registros
y documentación y el diseño de controles
Fuente: Elaborado por el autor en base a la ISO/IEC 27003.
68
Además, en esta etapa la norma ISO/IEC 27001 establece la elaboración de los
siguientes documentos:
Por otro lado, una vez seleccionado los controles a implementarse para ayudar a
reducir los riesgos, es necesario la elaboración de algunos documentos que
formarán parte del plan de gestión de seguridad de la información, los cuales serán
también entregables para este proyecto y son:
69
3.4 Guía de Implementación
Una vez elaborados todos los documentos entregables se procede a elaborar una
guía de implementación del plan SGSI, dicha guía contendrá una secuencia de
actividades basadas en la ISO/IEC 27003 que se deben realizar en el caso de que
se quiera implementar el SGSI. Cabe mencionar que se puede añadir otras
actividades dependiendo de las necesidades de la entidad.
70
ANEXO P06 - Política de
Capacitación, Sensibilización y
Comunicación de seguridad de la
información
ANEXO P07 - Política de
Eliminación y Reutilización de
Equipos
ANEXO P08 - Política de
Instalación y Uso de Software
ANEXO P10- Política de
Autenticación de usuarios para
conexiones externas
ANEXO P11 - Política de
Documentación de los
Procedimientos de Operación
ANEXO P12- Política Aspectos
Organizativos de la Seguridad de
la Información
ANEXO P14 - Procedimiento para
la recuperación de desastres
ANEXO P09 - Política de Retiro de
los Derechos de Acceso
ANEXO P13 - Política de los
Controles de Red
ANEXO P15 - Política de los
Controles de auditora de los
sistemas de información
Implementación de las Implementación de los controles
No aplica
políticas sugeridos.
Capacitación al personal para lograr
Capacitación al personal la correcta ejecución de los controles No aplica
a ser implementados.
71
3.3 (el Anexo X- Análisis del Estado de Cumplimiento Esperado contiene los
resultados por cada dominio) que se muestra a continuación:
Fuente: Elaborado por el autor en base al ANEXO X – Análisis del Cumplimiento Esperado.
La Tabla 3.4 muestra el porcentaje del nivel de cumplimiento actual como el del
nivel de cumplimiento esperado.
72
A.14 Gestión de la Continuidad
0% 40%
del Negocio
A.15 Cumplimiento 60% 80%
Cabe mencionar que, si el análisis fuera llevado a cabo en toda la entidad, el nivel
de cumplimiento esperado tendría un incremento con mayor notoriedad.
73
A.8 Seguridad ligada a los recursos humanos
El incremento para este dominio sería de 34%, esto debido a que los controles
seleccionados (A.8.2.1 Responsabilidades de la dirección, A.8.2.2 Concienciación,
formación y capacitación en seguridad de la información y A.8.3.3 Retiro de los
derechos de acceso) permitirá a la entidad mejorar y documentar estos controles
que actualmente se están practicando únicamente por experiencia.
74
A.13 Gestión de Incidentes de Seguridad de la Información
El incremento para este dominio sería de 20%, esto debido a que los controles
seleccionados (A.13.1.2 Notificación de los puntos débiles de seguridad) permitirán
que los usuarios de la entidad sean quienes comuniquen de las posibles
debilidades de seguridad a las que se esté expuesto.
A.15 Cumplimiento
El incremento para este dominio sería de 20%, esto debido a que los controles
seleccionados (A.15.2.1 Cumplimiento de las políticas y las normas de la seguridad
y A.15.3.1 Controles de auditoría de los sistemas de información) permitirá a la
entidad realizar revisiones regulares de la seguridad de la información.
4 CONCLUSIONES Y RECOMENDACIONES
4.1 Conclusiones
75
apoyan la toma de decisiones y el compromiso de la dirección con la
seguridad de la información.
Las políticas elaboradas, que forman parte de los entregables, contienen
todos los controles seleccionados en la declaración de aplicabilidad, no
como un documento formal por cada control, pero si cumpliendo toda la
selección que permitirá asegurar los activos críticos analizados de acuerdo
al alcance del plan, por ello la entidad podrá crear o modificar políticas si el
alcance del análisis se ampliase.
El aumento del porcentaje en el estado de cumplimiento esperado se daría
siempre y cuando se ponga en marcha los controles propuestos, además
de que dicho porcentaje sería mayor si el análisis se lo realizaría todos los
activos de la entidad y no únicamente a los activos considerados como
críticos.
Los activos considerados como críticos dentro de la Cooperativa de Ahorro
y Crédito “KULLKI WASI” no poseen riesgos de nivel alto lo que significa
que los controles que actualmente se ejecutan están de una u otra forma
reduciendo las vulnerabilidades frente a las amenazas existentes. Por otra
parte, de los 58 riesgos encontrados, 35 están en un nivel moderado y de
acuerdo al plan de tratamiento de riesgos establecido, estos riesgos son los
que fueron tomados en cuenta para la selección de controles con el objeto
de mitigarlos. Los 23 riesgos restantes, con nivel de riesgo bajo, únicamente
fueron presentados y deberán ser controlados después de haber
implementado los controles propuestos para la mitigación de los que se
encuentran en nivel moderado.
El Manual de Políticas de Tecnologías de la Información que actualmente
posee la Cooperativa de Ahorro y Crédito “KULLKI WASI” no cumple la
función de la Política de Seguridad, no contiene todos los dominios de
seguridad que la cooperativa requiere y se encuentra redactado sin
lineamientos y conforme a las necesidades inmediatas por lo cual genera
confusión y falta de orden.
El Departamento de Tecnología de la Cooperativa de Ahorro y Crédito
“KULLKI WASI” tiene como debilidad la falta de personal, cuenta con muy
76
poco talento humano para el área y las responsabilidades que se deben
llevar a cabo.
4.2 Recomendaciones
77
A medida que la tecnología avanza es necesario integrar las mismas a la
entidad lo que generaría nuevas fuentes de amenazas y con esto nuevos
riesgos, por ello es importante que se realicen revisiones periódicas del
presente plan debido a que el mismo podría quedar obsoleto con el paso
del tiempo.
Realizar campañas y/o capacitaciones para concientizar las buenas
prácticas de seguridad de la información y de esta manera salvaguardar la
información sensible que maneja la entidad.
Llevar a cabo las políticas y/o controles no solo como solución o necesidad
tecnológica sino como procedimientos formalmente documentados y
controlados.
La implementación de un Active Directory facilitaría la administración de los
usuarios dentro de la red de la entidad, lo que permitía crear niveles de
permisos, políticas y asignar adecuadamente los recursos en función a los
roles establecidos.
78
5 REFERENCIAS BIBLIOGRÁFICAS
[1] Burgos J. y Campos P., «CEUR-WS.org - Modelo Para Seguridad de la Información en TIC,»
[En línea]. Available: http://ceur-ws.org/Vol-488/paper13.pdf. [Último acceso: 2017].
[2] Kullki Wasi - Cooperativa de ahorro y crédito, «Kullki Wasi - Cooperativa de ahorro y
crédito- Nosotros,» 2013. [En línea]. Available:
http://kullkiwasi.com.ec/index.php/nosotros. [Último acceso: 2017].
[3] Superintendencia de Economía Popular y Solidaria, «¿Qué es la SEPS?,» 2018. [En línea].
Available: http://www.seps.gob.ec/interna?-que-es-la-seps-.
[4] Superintendencia de Economía Popular y Solidaria, «RESOLUCIÓNNo.SEPS-IGT-IR-ISF-
ITIC-IGJ-2017-103,» Quito, 2017.
[5] Junta de Política y Regulación Monetaria y Financiera, «Resolución N° 128-2015-F,»
Quito, 2015.
[6] Gerente entidad Financiera., Interviewee, Primera entrevista- Conociendo la empresa y
solicitud de auspicio.. [Entrevista]. 2017.
[7] Cooperativa de Ahorro y Crédito Kullki Wasi, «Kullki Wasi Historia,» Ambato, 2018.
[8] Cooperativa de Ahorro y Credito Kullki Wasi, Plan estratégico, Ambato, 2017-2020.
[9] ISACA, «The Risk IT Framework,» ISACA, 2018. [En línea]. Available:
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-
Risk-IT-Framework.aspx.
[10] Dirección General de Modernización Administrativa, Procedimientos e Impulso de la
Administración Electrónica, «MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información,» Octubre 2012. [En línea]. Available:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodol
og/pae_Magerit.html#.W9sxhdVKi1s.
[11] NIST-National Institute of Standards and Technology, «Risk Management Guide for
Information Technology Systems,» 2002.
[12] Instituto Ecuatoriano de Normalización- INEN, «NTE INEN-ISO/IEC 27001:2011
TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - SISTEMAS DE GESTIÓN
DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) - REQUISITOS,» Quito.
[13] Microsoft, «Microsoft Security Assessment Tool 4.0,» Microsoft, [En línea]. Available:
https://www.microsoft.com/en-us/download/details.aspx?id=12273. [Último acceso: 21
Septiembre 2018].
[14] INEN, «NTE INEN-ISO/IEC 27001:2011 Tecnología de la información. Técnicas de
seguridad. Sistema de gestión de la seguridad de la información (SGSI). Requisitos,»
2012.
[15] I. Maldonado y J. Guanoluisa, Análisis de riesgo y diseño de un plan de seguridad de la
información para el consejo nacional de igualdad de discapacidades "CONADIS", Quito,
2015.
79
ANEXOS
Documento - Aprobación por parte de la entidad
Documento - PlanificacionDeActividades
Documento - Activos Críticos
ANEXO - Análisis de la situacion actual
ANEXO - Escaneo de Vulnerabilidades con Nessus y Nmap
ANEXO I - Selección de Metodolog¡a para el Análisis de Riesgos
ANEXO II - Resultado de Medidas de Defensa MSAT
ANEXO III - Manejo de Seguridad de la Informaci¢n NTE INEN-ISO-IEC 27001-
2011 Auditoría Check List
ANEXO IV - Análisis del Estado de Cumplimiento Actual según la Norma NTE
INEN-ISO-IEC 27001-2011
ANEXO lX - Informe de Valoración de Riesgo
ANEXO V - Escaneo de Vulnerabilidades con Nessus y Nmap
ANEXO VI - Análisis de Vulnerabilidades
ANEXO VII - Matriz de riesgos
ANEXO Vlll - Declaración de Aplicabilidad
ANEXO X - Análisis del Estado de Cumplimiento Esperado
Documento - Marco Legal
ANEXO P01 - Documento de procedimiento para control de documentos y
registros
ANEXO P02 - Política de SGSI
ANEXO P03- Política Uso aceptable de los activos
ANEXO P04 - Política de Contraseñas
ANEXO P05- Política de Clasificación y Manejo de la Información
ANEXO P06 - Política de Capacitación, Sensibilización y Comunicación de
seguridad de la información
ANEXO P07 - Política de Eliminación y Reutilización de Equipos
ANEXO P08 - Política de Instalación y Uso de Software
ANEXO P09 - Política de Retiro de los Derechos de Acceso
ANEXO P10- Política de Autenticación de usuarios para conexiones externas
ANEXO P11 - Política de Documentación de los Procedimientos de Operación
80
ANEXO P12- Política Aspectos Organizativos de la Seguridad de la Información
ANEXO P13 - Política de los Controles de Red
ANEXO P14 - Procedimiento para la recuperación de desastres
ANEXO P15 - Política de los Controles de auditora de los sistemas de informa ción
81