Risk">
Cabezas Jic
Cabezas Jic
Cabezas Jic
IMPLEMENTACIÓN DE UN FRAMEWORK DE
CIBERSEGURIDAD COMPUESTO POR NORMAS Y
CONTROLES PARA PROTEGER LA INFORMACIÓN DE
LAS PEQUEÑAS Y MEDIANAS EMPRESAS EN LIMA
PRESENTADA POR
IRVING CHRISTIAN CABEZAS JUÁREZ
ASESOR
LUIS ALBERT LLATAS MARTÍNEZ
TESIS
PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE
COMPUTACIÓN Y SISTEMAS
LIMA – PERÚ
2020
CC BY-NC-ND
Reconocimiento – No comercial – Sin obra derivada
El autor sólo permite que se pueda descargar esta obra y compartirla con otras personas, siempre que se
reconozca su autoría, pero no se puede cambiar de ninguna manera ni se puede utilizar comercialmente.
http://creativecommons.org/licenses/by-nc-nd/4.0/
ESCUELA PROFESIONAL DE INGENIERÍA DE COMPUTACIÓN Y
SISTEMAS
IMPLEMENTACIÓN DE UN FRAMEWORK DE
CIBERSEGURIDAD COMPUESTO POR NORMAS Y
CONTROLES PARA PROTEGER LA INFORMACIÓN DE LAS
PEQUEÑAS Y MEDIANAS EMPRESAS EN LIMA
TESIS
PRESENTADA POR
LIMA – PERÚ
2020
Dedico esta tesis a toda mi familia
por brindarme su apoyo a lo largo
de mi carrera universitaria.
A mi mamá Dora, mamá Rosana,
hermano José Carlos y papá Juan
por ser los grandes ejemplos de mi
vida.
Y en especial, a mi tía Mechita y tío
Engelberto, un beso hasta el cielo
para ustedes.
Agradezco al Ing. Luis Llatas por
contribuir en conjunto con el
desarrollo de la tesis ejerciendo el
fundamental rol de asesor.
ÍNDICE
Página
RESUMEN IX
ABSTRACT X
INTRODUCCIÓN XI
1.1 ANTECEDENTES 1
1.2 BASES TEÓRICAS 2
1.3 DEFINICIÓN DE TÉRMINOS BÁSICOS 18
2.1 MATERIALES 21
2.2 MÉTODOS 27
3.1 PLAN 33
3.2 DO 38
3.3 CHECK 48
3.4 ACT 53
4.1 PRUEBAS 54
4.2 RESULTADOS 58
CAPÍTULO V. DISCUSIONES Y APLICACIONES 59
CONCLUSIONES 62
RECOMENDACIONES 63
FUENTES DE INFORMACIÓN 64
ANEXOS 84
ÍNDICE DE FIGURAS
Página
ix
ABSTRACT
This thesis seeks to be a guide to apply the concepts of cybersecurity
in SMEs in the department of Lima. The framework developed has as main
inputs the security controls (ISO / IEC 20071 and 27002) and the critical
security controls (CIS Controls), as well as the guidelines of the cybersecurity
framework (NIST CSF). The justification for the development this framework is
based mainly on providing a viable and practical solution to a real need for
these types of companies that need to protect their information and lack it for
economic reasons, human resources, tools, among others. The PDCA
methodology was used for the construction of the Framework. It consists of
four phases that allow continuous improvement throughout its life cycle. This
feature ensures that the framework can be applied in any company according
to its line of business. Likewise, the working framework was demonstrated by
applying it in a company that provides technology services. As a result, the
implementation of all cybersecurity controls was successfully achieved,
generating a greater degree of responsibility and awareness in terms of
cybersecurity.
x
INTRODUCCIÓN
En los últimos años, la interconexión global de los sistemas
informáticos ha traído consigo nuevas amenazas y vulnerabilidades que son
explotadas en los activos de las organizaciones, ocasionando altos impactos
negativos en la economía, los negocios, seguridad e infraestructura. Es por
tal motivo que la ciberseguridad se posiciona como un pilar fundamental en la
línea de defensa contra los ataques de seguridad cibernética y seguridad de
la información.
xi
teóricos, y términos básicos. En el segundo, se trata sobre la metodología,
que consta de los materiales y métodos que fueron utilizados para la
elaboración de la tesis. El tercero presenta el desarrollo de la investigación,
fases y actividades del framework propuesto. En el cuarto, se analizan las
pruebas y resultados, que determinaron el nivel de cumplimiento de los
objetivos del trabajo de investigación; y el quinto capítulo V se presentan las
discusiones y aplicaciones, que permitieron elaborar un análisis e
interpretación de los resultados obtenidos.
xii
negativo en todos los tamaños de empresa (pequeña, mediana, grande y
empresarial).
xiii
este dato es reflejado por la poca inversión generada en ella. La figura 4
muestra el titular de la noticia consultada.
Figura 4. Ciberseguridad: Las pymes son las empresas menos protegidas en América Latina
Fuente: (Diario Gestión, 2018)
xiv
entiende que es por el alto costo de los sistemas y controles existentes, así
como también, el alto grado de complejidad, tiempo y recurso humano
necesario para implementarlos.
Otro factor para que las pymes no dirijan su mirada hacia la seguridad
cibernética es porque no existe un mecanismo sencillo de comprender y
práctico que se amolde a sus necesidades. Este mecanismo podría ser un
sistema de información, una guía, un estándar o un framework que pueda
identificar los recursos de tecnologías de información, evaluar los riesgos,
auditar los controles y contemplar una mejora continua en función de la
ciberseguridad, todo esto en términos básicos para una protección ante algún
evento que afecte su información y reputación.
xv
El framework formulado podría sentar las bases de una posible
implementación de la norma ISO/IEC 27001 porque contiene algunas
características y controles.
xvi
CAPÍTULO I
MARCO TEÓRICO
1.1 Antecedentes
A continuación, las principales investigaciones desarrolladas que
aportaron al trabajo de investigación elaborado.
1
información del Ejército del Perú. La metodología utilizada fue una
investigación aplicada y la muestra seleccionada fue todo el Personal Militar y
Civil del Comando de Personal del Ejército (COPERE) que tienen
responsabilidad en administrar y controlar las diferentes infraestructuras de
TI. Los resultados obtenidos mostraron deficiencias en los programas de
capacitación y ausencia de recursos disponibles para la ciberdefensa.
2
El NIST CSF pretende ser una guía de las actividades de ciberseguridad.
(2018) El framework está formado por tres componentes (figura 6): El núcleo
del marco de trabajo, Los niveles de implementación del framework y Los
perfiles del framework.
Nivel de
implementación
3
elementos: Funciones, Categorías, Subcategorías y Referencias informativas,
representadas en la figura 7.
• Nivel de implementación
(2018) Los niveles de implementación del marco proporcionan un contexto
sobre cómo una organización analiza el riesgo de la ciberseguridad y los
4
procesos implementados para manejar ese riesgo. Los niveles describen el
grado de las prácticas de gestión de riesgos de ciberseguridad de una
organización. Durante el proceso de selección del nivel, una organización
debe considerar sus prácticas actuales de gestión de riesgos. La figura 8
permite visualizar los cuatro niveles de implementación del NIST CSF.
5
de ciberseguridad que se están logrando en el presente. El perfil objetivo
indica los resultados deseados para lograr los objetivos de gestión de riesgos
de ciberseguridad.
6
• Paso 2 – Orientación
La organización identifica todos los sistemas informáticos y activos.
• Paso 3 – Crear el perfil actual
Permite crear un perfil del estado actual de la organización en función
del resultado de las categorías y subcategorías del núcleo del marco.
• Paso 4 – Conducir evaluación del riesgo
La evaluación del riesgo se amolda al proceso general de gestión del
riesgo de la organización. Se determina la probabilidad de un evento
de ciberseguridad y el impacto del evento en la organización.
• Paso 5 – Crear el perfil objetivo
El perfil objetivo es el estado deseado de la organización y es
determinado por la evaluación de las categorías y subcategorías del
núcleo del marco.
• Paso 6 – Determinar, analizar y priorizar brechas
La organización compara el perfil actual y el objetivo para determinar
brechas y después elabora un plan de acción.
• Paso 7 – Implementar el plan de acción
Finalmente, se ejecuta el plan de acción de acuerdo con la priorización
de las actividades descritas en el paso 6.
7
En abril del presente año, se lanzó la versión 7 que contempla 20
controles CIS. (2018) Cada control, al mismo tiempo, contiene un conjunto de
subcontroles que son requerimientos necesarios para su implementación. Es
importante mencionar que el NIST CSF utiliza los controles CIS como parte
de su estructura metodológica. La figura 10 muestra la representación de los
20 controles divididos en controles básicos, fundamentales y
organizacionales.
8
desarrolla y suministra normas en las áreas de los campos electrónicos,
eléctricos y tecnología. A continuación, se presenta de manera puntual, una
serie de normas relacionadas con la seguridad de la información.
9
Figura 11. Cláusulas ISO/IEC 27001
Fuente: (NTP-ISO/IEC 27001, 2014)
10
Las organizaciones pueden argumentar no aplicar todos los controles de
seguridad en su totalidad porque existe el documento Declaración de
Aplicabilidad (SOA, por sus siglas en inglés) que expresa lo siguiente:
Tabla 1
Declaración de aplicabilidad - ISO/IEC 27001
…. …. …. …. ….
Elaboración: El autor
11
• Norma ISO/IEC 27002
La norma ISO/IEC 27002 llamada: “Tecnología de la información – Técnica de
seguridad – Código de prácticas para los controles de seguridad de la
información”, es una norma no certificable que sirve como guía donde se
presentan los objetivos de control de seguridad de la información
referenciados en la norma ISO/IEC 27001.
12
1.3.4 Metodología de gestión del riesgo
El Consejo Superior de Administración Electrónica (España)
elabora y promueve MAGERIT, que es la Metodología de Análisis y Gestión
de Riesgos de los Sistemas de Información. (2012) MAGERIT divide la gestión
de riesgos en dos actividades principales: análisis y tratamiento de riesgos. El
análisis de riesgos permite determinar qué tiene la organización y estimar lo
que podría pasar. En el tratamiento de los riesgos, se busca reducir los
riesgos identificados. La figura 13 muestra el proceso de gestión del riesgo
según MAGERIT.
13
Determinación de las consecuencias de los riesgos en la organización.
• Tratamiento de los riesgos
Elaboración de las actividades para modificar el estado de los riesgos.
• Comunicación y consulta
Es importante informar a los colaboradores sobre la situación de la
gestión del riesgo, porque los activos de información soportan los
sistemas que brindan soporte a los procesos y servicios de la
organización.
• Seguimiento y revisión
La gestión del riesgo es un proceso cíclico y mejorado continuamente.
• Valoración de activos
(2012) La valorización del activo comprende las dimensiones de la seguridad
de la información. Por lo tanto, se valorará en función del grado de
confidencialidad (C), disponibilidad (D) e integridad (I). A continuación, se
visualiza la figura 14 que describe los valores de impacto y la figura 15
presentando una plantilla del modelo de valor respectivo.
14
Figura 15. Plantilla modelo de valor
Fuente: (MAGERIT V3, 2012)
15
Los criterios de aceptación del riesgo permiten realizar una acción en el
tratamiento de los riesgos, es decir, implementar o no controles para modificar
los riesgos según en la zona de riesgos en donde se encuentre. La figura 17
muestra los criterios respectivos y la figura 18 la descripción de las zonas de
riesgos.
16
La figura 19 presenta una plantilla del mapa de riesgos donde se detallarán
las amenazas más significativas de cada activo, caracterizándolas por su
probabilidad de ocurrencia y el impacto que podría causar la materialización
sobre el activo.
17
1.4 Definición de términos básicos
Para los fines del documento se precisan los siguientes términos básicos.
18
• Política; son direcciones de una organización según lo expresado
formalmente por la alta dirección.
• Seguridad de la información; es la preservación de la confidencialidad,
integridad, y disponibilidad de la información.
• Sistema de información; es un conjunto de aplicaciones, servicios, activos
de TI, u otros componentes de manejo de información.
1.4.2 Ciberseguridad
Los términos descritos se basan en la norma ISO/IEC 27032.
19
• Amenaza; causa potencial de un incidente no deseado.
• Criterio del riesgo; término de referencia que se utilizará para evaluar el
riesgo.
• Evaluación del riesgo; proceso que involucra la identificación, análisis y
evaluación del riesgo.
• Gestión del riesgo; actividades coordinados para dirigir y controlar los
riesgos de la organización.
• Nivel del riesgo; magnitud del riesgo, expresado en términos de la
combinación de probabilidad e impacto.
• Probabilidad; posibilidad de que algo suceda.
• Riesgo; en seguridad de la información se asocia con el producto de la
probabilidad e impacto de una amenaza explotada por las vulnerabilidades
de un activo.
• Tratamiento del riesgo; proceso de modificar los riesgos.
• Vulnerabilidad; debilidad de un activo o control que puede ser explotado
por una o más amenazas.
20
CAPÍTULO II
METODOLOGÍA
2.1 Materiales
Para el desarrollo de la tesis se utilizaron los siguientes recursos.
Tabla 2
Recursos Humanos
Responsable Rol Descripción
Elaboración: El autor
21
Tabla 3
Recursos Hardware
Dispositivo Características Cantidad Descripción
Elaboración: El autor
Tabla 4
Recursos Software
Software Versión Cantidad Descripción
Elaboración: El autor
2.1.4 Presupuesto
El presupuesto de los recursos se describe en las siguientes
tablas.
22
Tabla 5
Costos del recurso humano
35 2 Setiembre 2018 70
35 2 Octubre 2018 70
35 2 Noviembre 2018 70
35 1 Marzo 2019 35
35 2 Abril 2019 75
Asesor
35 0 Mayo 2019 0
35 2 Junio 2019 70
35 2 Agosto 2019 70
Elaboración: El autor
Tabla 6
Costos del recurso hardware
23
Monitor 1 S/. 650 S/. 650
Tabla 7
Costos del recurso software
Elaboración: El autor
Tabla 8
Costos de otros recursos
Elaboración: El autor
Tabla 9
Costos del proyecto resumen
24
Recursos hardware S/. 4,700
2.1.5 Cronograma
El desarrollo de la tesis se inició con la elaboración de un plan de
tesis que fue aprobado en setiembre del año 2018. A continuación, la figura
21 muestra las actividades de la elaboración del documento tesis.
25
Figura 21. Cronograma del proyecto
26
2.2 Métodos
El framework propuesto intenta ser un marco compacto, fácil de entender
e implementar, asimismo, siguiendo las buenas prácticas que ofrece la
industria, es importante que el marco de trabajo brinde procesos eficientes y
retroactivos basándose en una gestión de la calidad.
27
SCRUM Alliance es una organización sin fines de lucro y es la encargada
de difundir la metodología ágil con mayor aceptación desde hace varios años
para el desarrollo de proyectos, en especial para el desarrollo de software.
Las pequeñas y grandes empresas suelen utilizar SCRUM porque permite con
un grupo reducido de personas, desarrollar y mantener los proyectos
propuestos. La guía de SCRUM no tiene ningún costo y define los roles,
eventos, artefactos y reglas que forman la estructura de la metodología.
28
Finalmente, después de una breve descripción de las metodologías, se
realizó la comparación respectiva considerando el rango de 1 al 5, siendo 1
como el nivel más bajo y 5 como el nivel más alto en la puntuación. La
siguiente tabla muestra la valorización y elección de la metodología.
Tabla 10
Comparación metodologías
Metodología Metodología
Metodología
Metodologías PDCA SCRUM PMBOK
(Mejora
Características (Desarrollo (Dirección de
continua)
de Software) proyectos)
Total (Promedio) 5 4 3
Posición 1 2 3
Elaboración: El autor
29
2.4.2 Metodología PDCA
(Camisón, Cruz, & Gonzáles, 2006) La metodología PDCA fue
creada por el doctor Williams Edwards Deming, estadístico y encargado de
difundir el concepto de calidad. PDCA es una estrategia de mejora continua
que contempla las etapas de Planificar (Plan), Hacer (Do), Verificar (Check),
y Actuar (Act), éstas se encuentran involucradas en cualquier proceso de
una organización con el fin de lograr mejorar la calidad. La historia nos
posiciona en Japón, en los años 50 donde se presenta la versión original de
la metodología. Sin embargo, cuando la metodología fue puesta en práctica,
se observaron deficiencias, lo que ocasionó una modificación de esta (figura
22).
• Plan
(Camisón, Cruz, & Gonzáles, 2006) La primera etapa define los objetivos que
la empresa desea alcanzar con el fin de generar y proporcionar resultados.
También, se establece los métodos a utilizar para alcanzar estos objetivos, es
decir, identificar los medios necesarios, tales como normas técnicas y
operativas. Analizar la situación actual, así como también, diseñar un plan de
mejora o acción correctiva forman parte de esta primera fase.
30
• Do
(Camisón, Cruz, & Gonzáles, 2006) Esta etapa permite ejecutar todo lo
planificado en la etapa anterior. Un factor clave de éxito es que los
involucrados sepan aplicar las normas establecidas.
• Check
(Camisón, Cruz, & Gonzáles, 2006) La tercera proporciona la comprobación
de los resultados, es decir, se valida si las actividades y procesos se están
llevando a cabo de acuerdo con lo planificado. Esta comprobación se debe
desarrollar de dos maneras, la primera es observar los trabajos en el mismo
lugar donde se realizan, y la segunda, controlar los procesos y actividades
observando los resultados.
• Act
(Camisón, Cruz, & Gonzáles, 2006) La cuarta etapa se define como la
aplicación de una acción. En esta etapa se pueden dar dos situaciones
distintas. Si se logró los resultados de manera satisfactoria de acuerdo con el
plan establecido en la primera etapa, se deberá normalizar las actividades,
procedimientos, y procesos, así como también, formalizar medidas
correctoras si fuera necesario, para mantener el plan en el tiempo. Si no se
alcanzó el objetivo del plan, se deberá identificar las falencias de las
actividades y procesos, y las posibles causas que las producen, finalmente,
se empezará un nuevo ciclo PDCA.
31
CAPÍTULO III
DESARROLLO DEL PROYECTO
32
Figura 24. Estructura Desglosada de Trabajo - EDT
Elaboración: El autor
3.1 Plan
En esta primera etapa, la empresa deberá crear una política definiendo su
alcance y exponiendo el compromiso de protección de la información.
Además, se definirá los controles de ciberseguridad y se creará los perfiles
33
actual y destino. La figura 25 muestra las actividades de esta primera etapa,
así como también, los documentos o entregables que deberá ser elaborados.
34
Figura 26. Controles de ciberseguridad - Identidad
Elaboración: El autor
35
Figura 28. Controles de ciberseguridad - Detectar, Responder, Recuperar
Elaboración: El autor
36
3.1.3 Declaración de aplicabilidad
La declaración de aplicabilidad es un documento perteneciente a
la ISO/IEC 27001 cláusula 6.1.3d. En el proyecto, se utilizará para identificar
la implementación y exclusión de los controles de ciberseguridad en una
determinada empresa. La tabla 11 representa la plantilla de la declaración
de aplicabilidad.
Tabla 11
Plantilla declaración de aplicabilidad
Si aplica / No
# Código control Nombre control Descripción
aplica
Elaboración: El autor
37
La tabla 12 representa la plantilla del perfil actual y destino de los controles
de ciberseguridad.
Tabla 12
Plantilla nivel de madurez controles de ciberseguridad
Inexistente / Iniciado /
Iniciado / Definido /
Código control Nombre control Definido / Gestionado /
Gestionado / Optimizado
Optimizado
Elaboración: El autor
3.2 Do
Esta fase se encarga del desarrollo de los controles de ciberseguridad.
38
A continuación, se muestra en la figura 30 un modelo del documento
respectivo.
39
3.2.2 Inventario de activos de hardware y software
El inventario de activos de hardware y software es la herramienta
básica y primordial que toda empresa debería elaborar. El inventario sugerido
se basa en las siguientes características.
Tabla 13
Control Inventario de activos de hardware y software
Hardware Software
Cantidad
INV- Operativo / Hardware Versión Fecha de
Nombre Dirección Dirección Número de
HW/SW- Activo Descripción Retirado / / del compra del
usuario física lógica de serie licencias
XX Mantenimiento Software software activo
/ Key
Elaboración: El autor
40
3.2.3 Matriz de roles y responsabilidades
Se utilizó una matriz de asignación de responsabilidades, también
llamada “matriz RACI” la cual permitió la identificación de roles y
responsabilidades de los trabajadores de la empresa. A continuación, la
matriz RACI del framework propuesto se encuentra en la tabla 14.
Tabla 14
Matriz RACI Framework Ciberseguridad
Roles
Equipo de Equipo de
Oficial de Gerente de Gerencia
respuesta ante recuperación
ciberseguridad TI general
incidentes ante desastres
Responsabilidades
Seguridad física y
tecnologías de la R - - C, I, A I
organización
Garantizar la
ciberseguridad en la R - - C, I, A I
organización
Ejecutar actividades
durante o después de un I, A R C I I
incidente de ciberseguridad
Ejecutar actividades
durante o después de un I, A C R I I
desastre de ciberseguridad
Elaboración: El autor
41
identificar una metodología que contemple la identificación de activos,
amenazas, asimismo, definir la evaluación y el plan de tratamiento del riesgo.
- Contexto interno
o Política General.
o Estrategias y objetivos.
o Cultura organizacional.
o Política de ciberseguridad.
- Contexto externo
o Factores económicos
▪ Demanda y oferta de productos o servicios.
▪ Demanda y oferta de moneda local y extranjera.
o Factores tecnológicos
▪ Nuevos sistemas de información.
▪ Implementación en La Nube.
▪ Conexiones remotas a través de redes privadas.
▪ Seguridad informática y cibernética.
o Factores legales
▪ Leyes
▪ Reglamentaciones
• Valoración de activos
Luego de realizar el inventario de activos, se deben valorizar los activos en
función a las dimensiones de la seguridad de la información: confidencialidad
(C), disponibilidad (D) e integridad (I). A continuación, la figura 31muestra el
modelo de valor respectivo.
42
Figura 31. Modelo de valor
Elaboración: El autor
43
Figura 33. Plan de tratamiento del riesgo
Elaboración: El autor
44
Tabla 15
Plantilla de inventario de cuentas de usuario y contraseñas
Usuario /
Nombre Fecha de Fecha de
Nombre de Contraseña de Dominio / Servidor /
# Dominio / creación del actualización de
usuario usuario Local Switch / Router
Otros usuario contraseña
/ Firewall
Elaboración: El autor
45
- Utilizar una herramienta automatizada que realice las copias de
seguridad (backup) de los archivos de un equipo, sistema, aplicación o
servicio.
- El medio de backup debe tener capacidad para almacenar la
información respectiva. El recurso de backup contempla discos duros,
cintas magnéticas, solución en la nube.
- Se deberá contemplar una copia de seguridad adicional a modo de
contingencia.
- Las tareas de copias de seguridad deben considerar los tipos de
backup (full, incremental y/o diferencial).
- Las pruebas de integridad de las copias de seguridad deben ser
ejecutadas y programadas en un intervalo de tiempo no menor a 6
meses.
- Un procedimiento debe ser elaborado que describa las tareas de
backup y programación de las tareas de backup, asimismo, la
identificación del recurso de backup y pruebas de integridad.
46
- Los documentos deberán contener copias de seguridad, control de
cambios y estar disponibles cuando ocurra el evento respectivo.
47
Después de ejecutar las tareas descritas en el plan y, validar la
recuperación exitosa o no de la información, se identifican nuevas
oportunidades y se corregirán las deficiencias encontradas con el propósito
de actualizar el plan.
3.3 Check
La siguiente etapa permitirá realizar una auditoría interna que evalúa el
desempeño de la ciberseguridad en la organización con el propósito de
identificar brechas. Esta actividad se basa en la cláusula 9 de la ISO/IEC
27001 (9.2 auditoría interna), y deberá ser ejecutada, como mínimo, una vez
al año. La auditoría debe contemplar lo siguiente.
Tabla 16
Auditoría interna porcentajes de cumplimiento
Porcentaje de
Ítem Descripción Gráfica
cumplimiento (%)
Los requerimientos de
los controles de
Totalmente cubierto 100%
ciberseguridad están
totalmente cubiertos.
48
Falta realizar algunas
tareas y actividades
Considerablemente para cubrir totalmente
75%
cubierto los requerimientos de
los controles de
ciberseguridad.
Se han realizado
tareas y actividades
que cubren
Parcialmente
parcialmente los 50%
cubierto
requerimientos de los
controles de
ciberseguridad.
Se han realizado
algunas tareas y
Limitadamente actividades para cubrir
25 %
cubierto los requerimientos de
los controles de
ciberseguridad.
No se ha realizado
ninguna actividad en
función de los
No cubierto 0%
requerimientos de los
controles de
ciberseguridad.
Elaboración: El autor
Tabla 17
Auditoría interna cuestionario
Cumplimiento
N° Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿Existe un documento de
política de ciberseguridad
que identifique objetivos y
compromisos aprobada
por la gerencia?
¿La política de Respuesta Observaciones
ID-01 Política de Sugerencias del 0% / 25% / 50%
ciberseguridad es del encontradas por
ciberseguridad auditor interno / 75% / 100%
difundida y comunicada a entrevistado el auditor interno
los colaboradores de la
empresa?
¿Existe un procedimiento
de respaldo del
documento?
49
Cumplimiento
N° Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿Existe un inventario de
activos de hardware y
software?
¿Existe un procedimiento
que controle los cambios
Respuesta Observaciones
ID-02 Inventario de del inventario? Sugerencias del 0% / 25% / 50%
del encontradas por
hardware y software ¿Existe una lista blanca auditor interno / 75% / 100%
entrevistado el auditor interno
de software y
aplicaciones?
¿Cuenta con un
procedimiento de
respaldo del documento?
¿Existe un plan de
riesgos?
¿Existe un procedimiento Respuesta Observaciones
Sugerencias del 0% / 25% / 50%
ID-04 Plan de riesgos de control de cambios? del encontradas por
auditor interno / 75% / 100%
¿Existe un procedimiento entrevistado el auditor interno
de respaldo de los
documentos?
¿Existe un inventario de
cuentas y contraseñas de
usuarios?
PR-01 Gestión de ¿Se modifica las Respuesta Observaciones
Sugerencias del 0% / 25% / 50%
cuentas de usuarios y contraseñas de las del encontradas por
auditor interno / 75% / 100%
contraseñas cuentas por defecto? entrevistado el auditor interno
¿Existen restricciones en
la elaboración de
contraseñas?
50
Cumplimiento
N° Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿Existen planes de
concientización y
capacitación de
PR-03 Plan de ciberseguridad para los Respuesta Observaciones
Sugerencias del 0% / 25% / 50%
concientización y colaboradores? del encontradas por
auditor interno / 75% / 100%
capacitación ¿Cuál es la frecuencia de entrevistado el auditor interno
las capacitaciones?
¿Cuándo fue la última
capacitación?
51
Cumplimiento
N° Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿Existe un plan de
respuesta ante incidentes
de ciberseguridad?
¿El plan de respuesta
ante incidentes se
encuentra disponible y
PR-05 Plan de cuenta con una copia de
respuesta ante seguridad? Respuesta Observaciones
Sugerencias del 0% / 25% / 50%
incidentes y plan de ¿Existe un plan de del encontradas por
auditor interno / 75% / 100%
recuperación ante recuperación ante entrevistado el auditor interno
desastres desastres de
ciberseguridad?
¿Los roles y
responsabilidades del
equipo de recuperación
ante desastres se
encuentran identificados?
¿Existe un control
cambios en el plan de
RS-01 Ejecución de respuesta ante incidentes Respuesta Observaciones
Sugerencias del 0% / 25% / 50%
plan de respuesta ante después de finalizar las del encontradas por
auditor interno / 75% / 100%
incidentes actividades ante un entrevistado el auditor interno
evento de
ciberseguridad?
¿Existe un control
cambios en el plan de
RC-01 Ejecución de recuperación ante Respuesta Observaciones
Sugerencias del 0% / 25% / 50%
plan de recuperación desastres después de del encontradas por
auditor interno / 75% / 100%
ante desastres finalizar las actividades entrevistado el auditor interno
ante un evento de
ciberseguridad?
Elaboración: El autor
52
3.4 Act
En esta etapa, se aplican los controles y salvaguardas identificados en el
tratamiento del riesgo y las oportunidades encontradas en la auditoría interna.
También, se deberá evaluar si la empresa requiere nuevos controles de
ciberseguridad, es decir, se analizan nuevamente las subcategorías del NIST
CSF, los controles CIS y los controles de seguridad de la información, con el
fin de insertarlos y documentarlos en la declaración de aplicabilidad.
53
CAPÍTULO IV
PRUEBAS Y RESULTADOS
4.1 Pruebas
Las pruebas realizadas para lograr los objetivos específicos se presentan
a continuación.
54
4.1.2 Elaborar las actividades y desarrollar entregables del
framework de ciberseguridad
El segundo objetivo específico se fundamenta en la construcción
del marco de trabajo propuesto, es decir, desarrollar las etapas, actividades y
documentos necesarios para implementar el framework.
55
• Declaración de aplicabilidad
La siguiente figura representa el documento “declaración de aplicabilidad” de
la empresa elegida.
56
• Perfil actual y destino
A continuación, se muestra el nivel de madurez de los controles de
ciberseguridad en función del estado actual y destino de la empresa
seleccionada.
Para realizar esta actividad, se utilizaron los niveles de madurez del CMMI.
Estos niveles son: Inexistente, Iniciado, Definido, Gestionado y Optimizado.
57
• Desarrollo de controles de ciberseguridad
Los controles de ciberseguridad se desarrollaron e implementaron de acuerdo
con la disponibilidad del personal a cargo. La empresa XENTIC logró
implementar todos los controles. Los anexos 2 hasta el 12 permiten visualizar
el desarrollo de los controles en la empresa.
4.2 Resultados
La evidencia del logro de los objetivos se sustenta en los resultados de la
auditoría interna realizada en la empresa. Es decir, se evaluó el grado de
cumplimiento de los controles de ciberseguridad. La siguiente figura muestra
los resultados.
58
CAPÍTULO V
DISCUSIONES Y APLICACIONES
59
5.1.2 Identificar, evaluar y armonizar las características de las
normas y controles relacionados con la ciberseguridad
Las normas ISO 27k, el NIST CSF y los controles CIS usados en
el presente proyecto, fueron seleccionados debido al gran impacto positivo
que tienen en la industria. Las grandes empresas tienen como fortaleza la
implementación de estas herramientas para contrarrestar los eventos de
ciberseguridad y seguridad de la información. El autor de la tesis basa su
framework propuesto en las bondades de cada herramienta con el fin de
entregar una solución compacta y con un origen reconocido por las empresas
a nivel mundial.
60
5.2 Aporte y otras aplicaciones del proyecto
El principal aporte que genera la sustentación de la tesis, es decir, el
desarrollo de un framework de ciberseguridad es la concientización de las
personas en función de la seguridad cibernética. Por otro lado, el marco de
trabajo podría servir como un primer paso hacia un proceso de certificación
de la norma ISO/IEC 27001 debido a que el framework propuesto se basa en
algunos lineamientos, directrices y controles de la norma.
61
CONCLUSIONES
62
RECOMENDACIONES
63
FUENTES DE INFORMACIÓN
Bibliográficas:
Educación S.A.
vocabulary.
64
UNE. (Julio de 2015). UNE-ISO/IEC 27002. Tecnología de la información -
seguridad de la información.
Electrónicas:
inversion-ciberseguridad-pymes-es-desde-5-soles-al-mes-
749481.aspx
https://gestion.pe/tecnologia/ciberseguridad-pymes-son-empresas-
protegidas-america-latina-232266-noticia/
content/uploads/2018/06/ESET_security_report_LATAM2018.pdf
Macha Moreno, E., & Inoguchi Rojas, A. (10 de Octubre de 2017). Gestión
PYMES del Perú. Lima, Lima, Perú. Obtenido de Repositorio Usil Edu:
http://repositorio.usil.edu.pe/bitstream/USIL/2810/1/2017_Inoguchi_Ge
stion-de-la-ciberseguridad.pdf
http://repositorio.icte.ejercito.mil.pe/bitstream/ICTE/32/1/Tesis%20Bac
h.%20Zu%C3%B1iga%20Figueroa%2C%20Jesus%20Rolando.pdf
65
Anexo 01: Descripción Xentic S.A.C
Xentic S.A.C. es una empresa integradora de soluciones tecnológicas
creada en el año 2009 y cuenta con un equipo de profesionales certificados
en distintas marcas tecnológicas. Las áreas que comprenden la empresa son
Gerencia, recursos humanos, ventas y operaciones TI.
66
Anexo 02: ID-01 Política de ciberseguridad
A continuación, se presenta el documento Política de ciberseguridad de la
empresa Xentic.
Política de ciberseguridad
Área de sistemas
John Rentería
Coordinador de Sistemas
Mayo de 2019.
67
Anexo 03: ID-02 Inventario de activos de hardware y software
A continuación, se presenta el inventario de los activos de hardware y
software de la empresa Xentic, asimismo, el procedimiento respectivo.
Inventario - Xentic
Hardware Software
COD Nombre Descripción Propietario Estado Tipo Dirección Fecha
Fabricante S/N Versión Licencia
IP Adquisición
Laptop área
HAR- LXEN- Hardware
sistemas – Sistemas 01 Almacén Lenovo IP DHCP - - OEM -
006 IT006 Laptop
SPARE
Laptop área
HAR- LXEN- Hardware
sistemas Sistemas 01 Mantenimiento Lenovo IP DHCP - - OEM -
008 IT008 Laptop
SPARE
68
Hardware Software
COD Nombre Descripción Propietario Estado Tipo Dirección Fecha
Fabricante S/N Versión Licencia
IP Adquisición
Impresora
HAR- PXEN- matricial Administración Hardware
Operativo EPSON IP Estática - - - -
026 ADM002 facturas área 01 Impresora
administración
69
Hardware Software
COD Nombre Descripción Propietario Estado Tipo Dirección Fecha
Fabricante S/N Versión Licencia
IP Adquisición
Hardware
HAR- APXEN- Access Point
Sistemas 01 Operativo Access TP-Link IP Estática - - - -
032 IT001 área sistemas
Point
Sistema
Software Licencia
SOF- Windows operativo 10 PRO
Sistemas 01 Permitido Sistema - - - por 20-abril-2018
001 10 Pro estaciones de 1809
Operativo volumen
trabajo
Plataforma de Licencia
SOF- Software
Office 365 mensajería y Sistemas 01 Permitido - - - Enterprise por 20-abril-2018
003 Mensajería
colaboración usuario
Plataforma de
10-
SOF- System gestión de Software
Sistemas 01 Permitido - - - Standard Propietario septiembre-
005 Xentic ventas y Gestión
2015
administración
Plataforma
SOF- Software Gold Licencia 15-enero-
StarSoft contable y Sistemas 01 Permitido - - -
006 Gestión Edition por año 2019
administrativo
Licencia
SOF- Plataforma de Software 01-enero-
eScan Sistemas 01 Permitido - - - Standard por
007 antivirus Antivirus 2019
usuario
70
- La herramienta de descubrimiento de dispositivos será ejecutada y
monitoreada por el coordinador de sistemas.
- Las siguientes tareas describen un nuevo registro de un activo de
hardware en el inventario.
o El hardware será conectado en la red de la empresa.
o El personal de sistemas realizará las configuraciones básicas en
el dispositivo.
o La herramienta Lansweeper detectará el nuevo dispositivo
recopilando la información de hardware y software.
o Los datos serán registrados en el inventario de hardware y
software, así como también, el estado del activo.
- Para realizar un nuevo registro de un activo de software en el
inventario, será aprobado por el coordinador de sistemas y registrado
en el inventario por el personal del área. El software será considerado
autorizado (lista blanca).
- Las siguientes tareas describen el retiro de un activo de hardware en el
inventario.
o La confirmación del retiro del activo será a través del
coordinador de sistemas.
o El personal de sistemas restablecerá el equipo a modo de
fábrica.
o La eliminación del dispositivo desde la herramienta Lansweeper
será realizada por el coordinar de sistemas. Así como también,
se eliminará el activo del inventario.
- Las siguientes tareas describen el retiro de un activo de software en el
inventario.
o La confirmación será a través del coordinador de sistemas.
o El activo de software será eliminado del inventario, por lo tanto,
será considerado como prohibido.
71
Anexo 04: ID-03 Matriz de roles y responsabilidades
A continuación, se presenta la matriz de roles y responsabilidades de la
empresa Xentic.
Roles
Equipo de Equipo de
Oficial de Coordinador Gerencia
respuesta ante recuperación ante
ciberseguridad de Sistemas general
incidentes desastres
Responsabilidades
Garantizar la ciberseguridad
R - - C, I, A I
en la organización
72
Anexo 05: ID-04 Plan de riesgos
A continuación, se presenta el plan de riesgos -basado en MAGERIT- de
la empresa Xentic.
a. Valoración de activos
Laptop área
1 HAR-001 LXEN-IT001 3 3 3 3
sistemas
Laptop área
2 HAR-002 LXEN-IT002 2 3 2 2
sistemas
Laptop área
3 HAR-003 LXEN-IT003 2 3 2 2
sistemas
Laptop área
4 HAR-004 LXEN-IT004 2 3 2 2
sistemas
Laptop área
5 HAR-005 LXEN-IT005 2 3 2 2
sistemas
Laptop área
6 HAR-006 LXEN-IT006 1 1 1 1
sistemas – SPARE
Laptop área
7 HAR-007 LXEN-IT007 2 3 2 2
sistemas
Laptop área
8 HAR-008 LXEN-IT008 1 1 1 1
sistemas SPARE
Desktop área
13 HAR-013 DXEN-ADM001 5 3 5 4
administración
73
Activo de información Dimensiones
Desktop área
14 HAR-014 DXEN-ADM002 5 3 5 4
administración
Desktop área
15 HAR-015 DXEN-ADM003 5 3 5 4
administración
Desktop área
16 HAR-016 DXEN-ADM004 5 3 5 4
administración
Servidor virtual
20 HAR-020 VXEN-IT002 Aplicaciones 01 2 3 2 2
Área sistemas
Servidor virtual
21 HAR-021 VXEN-IT003 Aplicaciones 02 2 3 2 2
Área sistemas
Servidor virtual
22 HAR-022 VXEN-IT004 Aplicaciones 03 2 3 2 2
Área sistemas
Impresora área
23 HAR-023 PXEN-IT001 1 2 1 1
sistemas
Impresora área
24 HAR-024 PXEN-VEN001 1 2 1 1
ventas
Impresora área
25 HAR-025 PXEN-ADM001 3 2 3 3
administración
Impresora matricial
26 HAR-026 PXEN-ADM002 facturas área 3 2 3 3
administración
Switch área
29 HAR-029 SWXEN-IT001 2 3 3 3
sistemas
74
Activo de información Dimensiones
Switch área
31 HAR-031 SWXEN-IT003 2 3 3 3
administración
Sistema operativo
34 SOF-001 Windows 10 Pro estaciones de 1 3 2 2
trabajo
Plataforma de
36 SOF-003 Office 365 mensajería y 1 3 2 2
colaboración
Plataforma de
38 SOF-005 System Xentic gestión de ventas y 4 3 4 4
administración
Plataforma contable
39 SOF-006 StarSoft 4 3 4 4
y administrativo
Plataforma de
40 SOF-007 eScan 4 4 4 4
antivirus
Personal de la
Usuarios
41 PER-001 planilla de la 5 5 5 5
internos
empresa
Personal que no
Usuarios
42 PER-002 pertenece a la 5 2 5 4
externos
empresa
75
b. Evaluación del riesgo
Evaluación del
Activo de información Amenaza Ocurrencia
riesgo
Zona de
N° Código Descripción Amenaza Impacto Valor Probabilidad Valor Total
riesgo
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Laptop área
sistemas Infección de virus
1 HAR-001 Dañino 3 Posible 3 9 Alta
Coordinador de (cualquier tipo)
sistemas
Hurto o robo de
Dañino 3 Raro 2 6 Moderada
activo
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Laptop área
sistemas Infección de virus
2 HAR-002 Dañino 3 Posible 3 9 Alta
Personal de (cualquier tipo)
sistemas
Hurto o robo de
Dañino 3 Posible 3 9 Alta
activo
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Laptop área
sistemas Infección de virus
3 HAR-003 Dañino 3 Posible 3 9 Alta
Personal de (cualquier tipo)
sistemas
Hurto o robo de
Dañino 3 Posible 3 9 Alta
activo
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Laptop área
sistemas Infección de virus
4 HAR-004 Dañino 3 Posible 3 9 Alta
Personal de (cualquier tipo)
sistemas
Hurto o robo de
Dañino 3 Posible 3 9 Alta
activo
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Laptop área
sistemas Infección de virus
5 HAR-005 Dañino 3 Posible 3 9 Alta
Personal de (cualquier tipo)
sistemas
Hurto o robo de
Dañino 3 Posible 3 9 Alta
activo
Laptop área
Infección de virus
6 HAR-006 sistemas – Dañino 3 Raro 2 6 Moderada
(cualquier tipo)
SPARE
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Laptop área
sistemas Infección de virus
7 HAR-007 Dañino 3 Posible 3 9 Alta
Personal de (cualquier tipo)
sistemas
Hurto o robo de
Dañino 3 Posible 3 9 Alta
activo
76
Evaluación del
Activo de información Amenaza Ocurrencia
riesgo
Zona de
N° Código Descripción Amenaza Impacto Valor Probabilidad Valor Total
riesgo
Laptop área
Infección de virus
8 HAR-008 sistemas Dañino 3 Raro 2 6 Moderada
(cualquier tipo)
SPARE
Dañino 3 Raro 2 6
Acceso no
Moderada
Desktop área autorizado
ventas
9 HAR-009
Coordinadora
de ventas Infección de virus
Dañino 3 Raro 2 6 Moderada
(cualquier tipo)
Acceso no
Dañino 3 Raro 2 6 Moderada
Desktop área autorizado
10 HAR-010 ventas Personal
de ventas Infección de virus
Dañino 3 Raro 2 6 Moderada
(cualquier tipo)
Acceso no
Dañino 3 Raro 2 6 Moderada
Desktop área autorizado
11 HAR-011 ventas Personal
de ventas Infección de virus
Dañino 3 Raro 2 6 Moderada
(cualquier tipo)
Acceso no
Dañino 3 Raro 2 6 Moderada
Desktop área autorizado
12 HAR-012 ventas Personal
de ventas Infección de virus
Dañino 3 Raro 2 6 Moderada
(cualquier tipo)
Acceso no
Severo 4 Raro 2 8 Alta
Desktop área autorizado
13 HAR-013 administración
Gerente general Infección de virus
Severo 4 Raro 2 8 Alta
(cualquier tipo)
Acceso no
Severo 4 Raro 2 8 Alta
Desktop área autorizado
14 HAR-014 administración
Contador Infección de virus
Severo 4 Raro 2 8 Alta
(cualquier tipo)
Acceso no
Desktop área Severo 4 Raro 2 8 Alta
autorizado
administración
15 HAR-015
Recursos
humanos Infección de virus
Severo 4 Raro 2 8 Alta
(cualquier tipo)
Acceso no
Desktop área Severo 4 Raro 2 8 Alta
autorizado
administración
16 HAR-016
Asistente
gerencia Infección de virus
Severo 4 Raro 2 8 Alta
(cualquier tipo)
Acceso no
Severo 4 Raro 2 8 Alta
autorizado
Servidor físico
17 HAR-017 área sistemas
Host ESXi Modificación de
configuraciones Severo 4 Raro 2 8 Alta
básicas
Acceso no
Severo 4 Raro 2 8 Alta
autorizado
Servidor físico
18 HAR-018 área sistemas
Host ESXi Modificación de
configuraciones Severo 4 Raro 2 8 Alta
básicas
77
Evaluación del
Activo de información Amenaza Ocurrencia
riesgo
Zona de
N° Código Descripción Amenaza Impacto Valor Probabilidad Valor Total
riesgo
Acceso no
Dañino 3 Raro 2 6 Moderada
autorizado
Infección de virus
Crítico 5 Raro 2 10 Alta
(cualquier tipo)
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Servidor virtual
Aplicaciones 01 Alteración de las
20 HAR-020 Menor 2 Raro 2 4 Baja
Área sistemas configuraciones
Test
Infección de virus
Menor 2 Raro 2 4 Baja
(cualquier tipo)
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Servidor virtual
Aplicaciones 02 Alteración de las
21 HAR-021 Menor 2 Raro 2 4 Baja
Área sistemas configuraciones
Test
Infección de virus
Menor 2 Raro 2 4 Baja
(cualquier tipo)
Acceso no
Menor 2 Raro 2 4 Baja
autorizado
Servidor virtual
Aplicaciones 03 Alteración de las
22 HAR-022 Menor 2 Raro 2 4 Baja
Área sistemas configuraciones
Desarrollo
Infección de virus
Menor 2 Raro 2 4 Baja
(cualquier tipo)
Modificación de
Impresora área
23 HAR-023 configuraciones de Insignificante 1 Raro 2 2 Baja
sistemas
red
Modificación de
configuraciones de Insignificante 1 Raro 2 2 Baja
red
Impresora área
24 HAR-024
ventas Acceso a
documentos Dañino 3 Posible 3 9 Alta
confidenciales
Modificación de
configuraciones de Insignificante 1 Raro 2 2 Baja
red
Impresora área
25 HAR-025
administración
Acceso a
documentos Dañino 3 Posible 3 9 Alta
confidenciales
Impresora
Acceso a
matricial
26 HAR-026 documentos Severo 4 Posible 3 12 Alta
facturas área
confidenciales
administración
Acceso no
Dañino 3 Raro 2 6 Moderada
autorizado
27 HAR-027 Router principal
Modificación de
configuraciones de Dañino 3 Raro 2 6 Moderada
red
78
Evaluación del
Activo de información Amenaza Ocurrencia
riesgo
Zona de
N° Código Descripción Amenaza Impacto Valor Probabilidad Valor Total
riesgo
Acceso no
Dañino 3 Raro 2 6 Moderada
autorizado
Firewall
28 HAR-028
principal Modificación de
configuraciones de Dañino 3 Raro 2 6 Moderada
red
Modificación de
Switch área
29 HAR-029 configuraciones de Menor 2 Raro 2 4 Baja
sistemas
red
Modificación de
Switch área
30 HAR-030 configuraciones de Menor 2 Raro 2 4 Baja
ventas
red
Modificación de
Switch área
31 HAR-031 configuraciones de Menor 2 Raro 2 4 Baja
administración
red
Modificación de
Access Point
32 HAR-032 configuraciones de Menor 2 Raro 2 4 Baja
área sistemas
red
Sistema
operativo
34 SOF-001 - - - - - - -
estaciones de
trabajo
Sistema
35 SOF-002 operativo - - - - - - -
servidores
Plataforma de Suplantación de
36 SOF-003 mensajería y identidad del Dañino 3 Raro 2 6 Moderada
colaboración dominio
Plataforma de
gestión de Modificación de
38 SOF-005 Severo 4 Raro 2 8 Alta
ventas y información
administración
Plataforma
Modificación de
39 SOF-006 contable y Crítico 5 Raro 2 10 Alta
información
administrativo
Acceso sin
Usuarios autorización a la
42 PER-002
externos información o
Severo 4 Raro 2 8 Alta
sistemas de datos
79
c. Tratamiento del riesgo
Zona de
N° Código Activo Amenaza Salvaguarda Observación
riesgo
Instalar y mantener
Infección de virus La base de datos de antivirus
Alta actualizada la base de
Laptop área (cualquier tipo) se encontraba desactualizada
firmas del antivirus
sistemas
2 HAR-002
Personal de
sistemas El personal de sistemas
Solicitar al área
realiza visitas proactivas e
administrativa una
Hurto o robo de implementa los proyectos en
Alta movilidad particular para
activo las instalaciones del cliente
el traslado hacia las
llevando el activo en sus
oficinas de los clientes
pertenencias
Instalar y mantener
Infección de virus La base de datos de antivirus
Laptop área Alta actualizada la base de
(cualquier tipo) se encontraba desactualizada
sistemas firmas del antivirus
3 HAR-003
Personal de
sistemas El personal de sistemas
Solicitar al área
realiza visitas proactivas e
administrativa una
Hurto o robo de implementa los proyectos en
Alta movilidad particular para
activo las instalaciones del cliente
el traslado hacia las
llevando el activo en sus
oficinas de los clientes
pertenencias
Instalar y mantener
Laptop área Infección de virus La base de datos de antivirus
Alta actualizada la base de
sistemas (cualquier tipo) se encontraba desactualizada
4 HAR-004 firmas del antivirus
Personal de
sistemas El personal de sistemas
Solicitar al área
realiza visitas proactivas e
administrativa una
Hurto o robo de implementa los proyectos en
Alta movilidad particular para
activo las instalaciones del cliente
el traslado hacia las
llevando el activo en sus
oficinas de los clientes
pertenencias
80
Activo de información Tratamiento del riesgo
Zona de
N° Código Activo Amenaza Salvaguarda Observación
riesgo
Gestionar las credenciales Las credenciales de los
Acceso no
Baja de los usuarios a través usuarios no contemplan
autorizado
de un software directivas de complejidad
Instalar y mantener
Infección de virus La base de datos de antivirus
Alta actualizada la base de
Laptop área (cualquier tipo) se encontraba desactualizada
firmas del antivirus
sistemas
5 HAR-005
Personal de
sistemas El personal de sistemas
Solicitar al área
realiza visitas proactivas e
administrativa una
Hurto o robo de implementa los proyectos en
Alta movilidad particular para
activo las instalaciones del cliente
el traslado hacia las
llevando el activo en sus
oficinas de los clientes
pertenencias
Instalar y mantener
Laptop área Infección de virus La base de datos de antivirus
Alta actualizada la base de
sistemas (cualquier tipo) se encontraba desactualizada
7 HAR-007 firmas del antivirus
Personal de
sistemas El personal de sistemas
Solicitar al área
realiza visitas proactivas e
administrativa una
Hurto o robo de implementa los proyectos en
Alta movilidad particular para
activo las instalaciones del cliente
el traslado hacia las
llevando el activo en sus
oficinas de los clientes
pertenencias
81
Activo de información Tratamiento del riesgo
Zona de
N° Código Activo Amenaza Salvaguarda Observación
riesgo
Servidor
Gestionar las credenciales Las credenciales de los
virtual Base de Acceso no
19 HAR-019
datos autorizado
Moderada de los usuarios a través usuarios no contemplan
de un software directivas de complejidad
Área sistemas
82
Activo de información Tratamiento del riesgo
Zona de
N° Código Activo Amenaza Salvaguarda Observación
riesgo
Ejecutar una copia de
Alteración de data No se encontró copias de
seguridad de las
en las bases de Alta respaldo de las
configuraciones del
datos configuraciones
dispositivo
Instalar y mantener
Infección de virus La base de datos de antivirus
Alta actualizada la base de
(cualquier tipo) se encontraba desactualizada
firmas del antivirus
83
Activo de información Tratamiento del riesgo
Zona de
N° Código Activo Amenaza Salvaguarda Observación
riesgo
Impresora
Acceso a Configurar únicamente los Cualquier usuario puede
matricial
26 HAR-026
facturas área
documentos Alta usuarios de administración enviar documentos a la
confidenciales en la impresora impresora
administración
Sistema
operativo
34 SOF-001
estaciones de
- - - -
trabajo
Sistema
35 SOF-002 operativo - - - -
servidores
Plataforma de Suplantación de
Implementar registros El proveedor DNS no
36 SOF-003 mensajería y identidad del Moderada
DNS SPF y DMARC contempla estos registros
colaboración dominio
84
Activo de información Tratamiento del riesgo
Zona de
N° Código Activo Amenaza Salvaguarda Observación
riesgo
Deshabilitar cualquier
Acceso sin
usuario y acceso a los Se identificará todos los
Usuarios autorización a la
42 PER-002
externos información o
Alta sistemas que no usuarios en los equipos y
correspondan al personal sistemas de la empresa
sistemas de datos
de la empresa
85
Tipo de Servicio Fecha de Fecha de
N° Usuario Dominio
cuenta asociado creación actualización
Computadoras
1 Administrador Sin dominio Local 2018 Oct-2020
& Laptops
Controlador de
2 Administrador Xentic.local Dominio 2011 Abr-2015
Dominio
Switch
5 Root Sin dominio Local 2018 Set-2018
Sistemas
Servidores
7 Admin Sin dominio Local 2018 Abr-2018
Físicos
Cuenta SA
8 Sa Sin dominio Local 2016 Dic-2016
bases de datos
Cuenta admin
9 Xentic_admin Sin dominio Local Sistema 2015 Set-2015
XENTIC
Cuenta admin
10 Admin_starsoft Sin dominio Local Sistema 2019 Ene-2019
StarSoft
Cuenta admin
11 Escan_admin Sin dominio Local Sistema 2017 Jul-2017
antivirus eScan
Cuenta admin
12 sohoadmin Sin dominio Local 2016 Feb-2016
SOHO Desk
86
- La contraseña deberá tener mínimo 8 caracteres y contemplar
mayúsculas, minúsculas, números y caracteres especiales.
- Se utilizará el programa en línea “LastPass” para generar las
contraseñas colocando los parámetros respectivos.
- A continuación, se muestra las capturas del uso del programa.
o Ingresar al url: https://www.lastpass.com/es/password-generator
o Identificar los parámetros
o Generar contraseña
87
- El coordinador de sistemas segmentó la red en redes virtuales (VLAN)
en los equipos Switch de la empresa.
o VLAN por Defecto (DEFAULT_VLAN)
o VLAN Administrativa (VLAN_DATAGAF)
o VLAN Voz (VLAN_VOIP)
o VLAN CCTV (VLAN_CCTV)
o VLAN Operativa (VLAN_DATAGOP)
o VLAN Gestión (VLAN_MGMT)
- La VLAN de Voz y CCTV están en modo de prueba para su futura
implementación.
- La VLAN Administrativa pertenece a las áreas de ventas y
administración. La VLAN Operativa es del área de Sistemas (incluye
equipos de redes y servidores).
- Los puertos no utilizados se encuentran deshabilitados siguiendo las
recomendaciones.
- Por motivos de seguridad, la lista de direcciones no fue enviada, sin
embargo, se muestra tres capturas de la configuración del equipo
Switch.
o Configuración de VLAN
88
o Configuración de puertos del Switch
89
Anexo 08: PR-03 Plan de concientización y capacitación
A continuación, se presenta el desarrollo del control de la empresa Xentic.
Se desarrolló un cronograma de capacitaciones en función de la seguridad
cibernética para los meses noviembre y diciembre del 2020.
- Ciberseguridad Inducción
o Fecha: 08-Nov-2020
o Hora: 20:00
o Duración: 30 minutos
o Lugar: Sesión remota Microsoft Teams
- Impacto de la ciberseguridad
o Fecha: 27-Nov-2020
o Hora: 20:00
o Duración: 30 minutos
o Lugar: Sesión remota Microsoft Teams
- Vectores de los ataques cibernéticos
o Fecha: 18-Dic-2020
o Hora: 20:00
o Duración: 30 minutos
o Lugar: Sesión remota Microsoft Teams
90
- El coordinador de sistemas es el responsable de la administración del
sistema Veeam Backup.
- Veeam Backup (edición Community) permite ejecutar copias de
seguridad de hasta 10 servidores virtuales.
- Existe un servidor de Backup que tiene instalado Veeam Backup y
puede ejecutar tareas de copias de seguridad y restauración de datos.
- Los servidores con respaldo de información son los siguientes:
o N4W2008R2EN22
o N4LNX70ENFTP
o N4CL70X64EN07
o N4CL70X64EN05
o N4W7ENCLIENT01
o N4CL70X64EN01
o N4CL70X64EN20
o N4CL70X64EN18
o N4W2008R2EN19V3
- El detalle de la tarea de copias de seguridad es la siguiente:
o Programación: Todos los días a las 10:00 pm
o Almacenamiento: Disco Local D:
o Puntos de restauración: 4.
o Tipo de Backup: Full
- Como medida de contingencia, la segunda tarea de Backup es realizar
una copia de la unidad local D a un disco externo.
- Esta segunda tarea se realiza todos los días a las 08:00 am.
91
- Almacenamiento copias de seguridad
- Tarea de Backup
92
Anexo 10: PR-05 Plan de respuesta ante incidentes y plan de
recuperación ante desastres
A continuación, se presenta el desarrollo del control de la empresa Xentic.
Se establecieron dos planes ante incidentes y uno para desastres con el
objetivo de evidenciar las tareas a ejecutar cuando ocurran estos eventos.
93
iv. Identificar el correo y seleccionar la opción “reportar
spam”
94
o Objetivo: Reducir el riesgo de infección de virus informáticos a
través de dispositivos USB.
o Servicio afectado: Computadoras y laptops.
o Responsables: Equipo de respuesta ante incidentes.
i. Coordinador de sistemas
ii. Auxiliar de sistemas 1
iii. Auxiliar de sistemas 2
o Descripción:
i. Ingresar a la consola de antivirus con las credenciales
respectivas.
ii. En el módulo “dispositivos administrados” seleccionar
el grupo “IN-USB”.
95
iv. Todas las computadoras y laptops que no pertenecen al
grupo “IN USB” no tendrán acceso a dispositivos USB.
v. Se habilitará el puerto a demanda, es decir, cuando el
usuario lo requiere y con fines laborales.
96
- Plan de respuesta ante desastres 01
o Evento: Corrupción de servidor virtual.
o Objetivo: Recuperar el servidor virtual después de un
Ransomware ataque cibernético.
o Servicio afectado: Directorio Activo, Bases de datos, Otros.
o Responsables: Equipo de respuesta ante desastres.
i. Coordinador de sistemas
ii. Auxiliar de sistemas 1
iii. Auxiliar de sistemas 2
o Descripción:
i. Existen varios tipos de ataques cibernéticos que pueden
robar la información de la empresa. Por ejemplo, el
ataque de tipo Ransomware restringe el acceso a los
archivos y carpetas de un sistema operativo y solicita un
pago para recuperar la información.
ii. Como se observa en la imagen, el atacante muestra en
pantalla un mensaje informando que los archivos han sido
encriptados (manera de ocultar los datos mediante una
llave para que otros no puedan interpretarlos).
97
iv. Como medida de recuperación del servidor virtual ante
este evento de ciberseguridad, es necesario utilizar la
herramienta Veeam Backup en su modalidad de
restauración de datos.
v. Ingresar al servidor de Backup y abrir la aplicación Veeam
Backup.
98
Anexo 11: DE-01 Gestión de vulnerabilidades
A continuación, se presenta el desarrollo del control de la empresa Xentic.
Se elaboró el siguiente procedimiento que describe las tareas básicas de la
gestión de vulnerabilidades en la empresa.
99
- Computadora Windows 10 – Coordinador de sistemas
o Búsqueda de actualizaciones
o Actualizaciones instaladas
100
- Servidor Windows Server 2016 – Controlador de Dominio
o Búsqueda de actualizaciones
o Actualizaciones instaladas
101
Anexo 12: Auditoría interna
A continuación, se presenta el resultado de la auditoría interna que se
realizó en la empresa Xentic
Cumplimiento
Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿La empresa ha
desarrollado un
documento de política
“Se elaboró y aprobó
de ciberseguridad que
la Política de El documento
identifique objetivos y Se recomienda una
Ciberseguridad. siguió las pautas
compromisos aprobada constante revisión de
ID-01 Política de Asimismo, el descritas en la
por la gerencia? los lineamientos y 100%
ciberseguridad documento fue plantilla
¿La política de compromisos del
enviado a los elaborada en la
ciberseguridad es documento.
colaboradores de la tesis
difundida y
empresa.”
comunicada a los
colaboradores de la
empresa?
“El oficial de
¿Se tiene identificado ciberseguridad y los
los roles y equipos está
responsabilidades de conformados por el La matriz de la
Se recomienda
ID-03 Matriz de ciberseguridad en la personal del área de empresa se basa
analizar nuevos roles
roles y empresa? sistemas. El en la plantilla 100%
y responsabilidades
responsabilidades ¿Existe un documento documento de la elaborada en la
en la matriz respectiva
donde estén matriz está elaborado tesis
registrados los roles y con los roles y
responsabilidades? responsabilidades
respectivas”
Las tablas y
“La valoración de
matrices usadas
¿Existe un plan de activos, evaluación y Se recomienda
en el plan de
riesgos? tratamiento de riesgos identificar nuevas
riesgos de la
ID-04 Plan de ¿El plan realiza la fueron elaborados de amenazas para los
empresa se 100%
riesgos valoración, evaluación acuerdo con los activos de hardware y
basan en las
y tratamiento de lineamientos software de manera
plantillas
riesgos? sugeridos en el regular
propuestos en la
framework propuesto”
tesis
102
Cumplimiento
Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿Existen planes de
“Se elaboró un
concientización y
cronograma para el
capacitación de
mes de noviembre y
ciberseguridad para los
diciembre que Se deberá Se recomienda dictar
PR-03 Plan de colaboradores?
permitirá capacitar al planificar el las capacitaciones en
concientización y 100%
personal. La cronograma del horario de oficinas y
capacitación ¿Cuál es la frecuencia
frecuencia es aprox. año 2021 remotamente
de las capacitaciones?
cada 20 días y la
última charla fue el
¿Cuándo fue la última
pasado 7 de Nov”
capacitación?
103
Cumplimiento
Control Consultas Respuestas Observaciones Recomendaciones
(%)
¿Existe un plan de
respuesta ante “Se elaboraron
incidentes de algunos planes de
ciberseguridad? incidentes y desastres
ante un evento de
¿Existe un plan de ciberseguridad. Se Existen una
PR-05 Plan de recuperación ante tiene como objetivos, cantidad mínima Se recomienda
respuesta ante desastres de desarrollar más planes de planes ante aumentar el número
incidentes y plan ciberseguridad? para preparar a los incidentes y de procedimientos y 100%
de recuperación equipos y estar desastres de planes de
ante desastres ¿El plan de capacitados ante seguridad ciberseguridad
recuperación ante cualquier situación. cibernética
desastres se encuentra Los planes están
disponible y cuenta con disponibles para cada
una copia de integrante del área de
seguridad? sistemas”
104