ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA ELÉCTRICA Y
ELECTRÓNICA
DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS EN LA
SEGURIDAD DE LA INFORMACIÓN, ORIENTADO AL GOBIERNO DE
TI EN BASE A LA NORMA NTE INEN-ISO/IEC 27005:2012, PARA LA
DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN
TELECOMUNICACIONES (DTT), DE LA SUPERINTENDENCIA DE
TELECOMUNICACIONES
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
ELECTRÓNICA Y REDES DE INFORMACIÓN
SANDRA MARIELA ESCOBAR RIVERA
[email protected]
STEFANIE CECIBEL LEÓN AGUIRRE
[email protected]
DIRECTOR: ING. MÓNICA VINUEZA RHOR
[email protected]
Quito, Abril 2016
i
DECLARACIÓN
Nosotras, Escobar Rivera Sandra Mariela y Stefanie Cecibel León Aguirre,
declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que
no ha sido previamente presentado para ningún grado o calificación profesional; y,
que hemos consultado las referencias bibliográficas que se incluyen en este
documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional,
según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por
la normatividad institucional vigente.
Sandra Mariela Escobar Rivera
Stefanie Cecibel León Aguirre
ii
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Sandra Mariela Escobar
Rivera y Stefanie Cecibel León Aguirre, bajo mi supervisión.
Ing. Mónica Vinueza Rhor
DIRECTOR DEL PROYECTO
iii
AGRADECIMIENTOS
Agradezco a Dios por cada día de mi vida y por cada una de las experiencias
que he vivido, por permitirme llegar a la culminación de una meta tan importante
como es obtener mi profesión, y por haber puesto en mi camino a muchas personas
que me aprecian y apoyan siempre.
A mi madre por su amor, paciencia, consejos y apoyo incondicional en el
desarrollo de este proyecto y durante toda mi vida politécnica; a mi familia por su
cariño y preocupación; a mis amigos que me han enseñado que la vida está hecha
para disfrutar y aprender de los buenos y malos momentos, especialmente a Verito
A., Yesse L., Cari M., Andre O., Dianita H., Carlita R., Jorgiño F., Washo V., con los
que hemos compartido tantos momentos que han hecho que se ganen un lugar
muy especial en mi corazón y son mis hermanos de la vida.
A mi compañera de tesis Stefanie por su amistad, toda su paciencia,
confianza y apoyo en el desarrollo de este proyecto; a los chicos tesis, Alejita T. y
Andrés R., por su amistad y su ayuda, y por compartir con nosotras este complicado
proceso.
A nuestra directora de tesis por su guía y consejos que ahora permiten que
consiga esta meta.
A los funcionarios de la SUPERTEL, especialmente a los funcionarios de la
DTT por su total colaboración durante el desarrollo de este proyecto.
Gracias a todos.
Sandra Escobar Rivera
iv
AGRADECIMIENTOS
A mi familia de cual recibí todo el apoyo que a pesar de no pasar juntos
creyeron en mí y supieron entenderme en momentos difíciles profesionalmente y
personales.
A todas las personas que conocí a lo largo de mi formación profesional en
cada uno de los semestres, en cada año, cada historia vivida gracias por todo.
A mi compañera de tesis Sandrita por todo su apoyo, por ser constante y
estar presente cada día en el desarrollo del mismo, muchas gracias.
A nuestra directora de tesis Ing. Mónica Vinueza, por estar dispuesta a
escucharnos y ser parte de este proyecto, así como también por sus consejos
porque gracias a ella el desarrollo de este proyecto se logró hacer con más facilidad.
A todos los funcionarios de la Dirección Nacional de Desarrollo Tecnológico
en Telecomunicaciones, por su gran ayuda con el aporte de información y siempre
recibirnos amablemente.
Stefanie León Aguirre
v
DEDICATORIA
Dedico el desarrollo de este proyecto a mi pilar fundamental, a la persona
que me ha dado su amor incondicional cada día de mi vida y que ha sido mi ejemplo
y soporte, que me ha apoyado en cada decisión que he tomado y que siempre me
demuestra que para una mujer luchadora no existen límites, y que se puede
alcanzar todo lo que te propongas. A mi madre querida, que siempre será mi fuerza
vital.
Sandra Escobar Rivera
vi
DEDICATORIA
El presente proyecto se lo dedico a mis padres Jorge Rogelio León Mendoza
y Luz Victoria Aguirre Jaramillo, así como también a mi hermano Argenis Danilo
León Aguirre, y mi hermosa sobrina Dharia Victoria, los cuales siempre creyeron en
mí y supieron darme fuerza para continuar y poder llegar a lograr una meta más en
vida.
Stefanie León Aguirre :=)
vii
CONTENIDO
DECLARACIÓN ...................................................................................................... i
CERTIFICACIÓN ....................................................................................................ii
AGRADECIMIENTOS ............................................................................................ iii
AGRADECIMIENTOS ............................................................................................iv
DEDICATORIA ....................................................................................................... v
DEDICATORIA ....................................................................................................... vi
CONTENIDO ......................................................................................................... vii
ÍNDICE DE TABLAS .............................................................................................. xii
ÍNDICE DE FIGURAS .......................................................................................... xiii
RESUMEN ............................................................................................................ xv
PRESENTACIÓN ................................................................................................ xvii
1. CAPÍTULO 1 ....................................................................................................... 1
MARCO TEÓRICO ................................................................................................. 1
1.1.
CONCEPTOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN ..... 1
1.1.1. INTRODUCCIÓN ......................................................................................... 1
1.1.2. CONCEPTOS DE SEGURIDAD .................................................................. 2
1.2.
INTRODUCCIÓN AL GOBIERNO DE TI ENFOCADO EN LA GESTIÓN DE
RIESGOS ............................................................................................................. 15
1.2.1. GOBIERNO DE TI ..................................................................................... 15
1.2.2. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ... 16
1.2.3. ENFOQUE DE GOBIERNO ....................................................................... 16
1.2.4. CATALIZADORES DE COBIT 5 ................................................................ 18
1.2.5. DIMENSIONES DE LOS CATALIZADORES ............................................. 19
1.2.6. MODELO DE REFERENCIA DE PROCESOS DE COBIT 5 ..................... 19
1.2.7. MAPEO DE COBIT 5 CON LOS ESTÁNDARES Y MARCOS DE TRABAJO
RELACIONADOS MÁS RELEVANTES ................................................................ 21
viii
1.2.8. ESTRUCTURAS ORGANIZATIVAS ILUSTRATIVAS EN COBIT 5 ............ 21
1.3.
DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC 27001:2011 ........... 26
1.3.1. INTRODUCCIÓN ....................................................................................... 26
1.3.2. OBJETIVO ................................................................................................. 28
1.3.3. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ... 28
1.3.4. REQUISITOS DE LA DOCUMENTACIÓN ................................................. 30
1.3.5. RESPONSABILIDAD DE LA DIRECCIÓN................................................. 30
1.3.6. AUDITORÍAS INTERNAS DEL SGSI ........................................................ 31
1.3.7. REVISIÓN DEL SGSI POR LA DIRECCIÓN ............................................. 31
1.3.8. MEJORA DEL SGSI .................................................................................. 31
1.4.
DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC 27002:2009 ........... 32
1.4.1. INTRODUCCIÓN ....................................................................................... 32
1.4.2. OBJETIVO ................................................................................................. 36
1.4.3. ESTRUCTURA DE LA NORMA ................................................................. 36
1.4.4. EVALUACIÓN Y TRATAMIENTO DEL RIESGO ........................................ 36
1.5.
ANÁLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012 ..................... 38
1.5.1. INTRODUCCIÓN ....................................................................................... 38
1.5.2. OBJETIVO ................................................................................................. 38
1.5.3. REFERENCIAS NORMATIVAS ................................................................. 38
1.5.4. ESTRUCTURA DE LA NORMA ................................................................. 39
1.5.5. INFORMACIÓN GENERAL ....................................................................... 40
1.5.6. VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO DE LA
SEGURIDAD DE LA INFORMACIÓN .................................................................. 40
1.5.7. Establecimiento del contexto ..................................................................... 42
1.5.8. Valoración del riesgo de la seguridad de la información ............................ 46
1.5.9. Tratamiento del riesgo de la seguridad de la información ......................... 54
1.5.10. Aceptación del riesgo de la seguridad de la información ....................... 57
ix
1.5.11.Comunicación de los riesgos de la seguridad de la información ............... 57
1.5.12. Monitoreo y revisión del riesgo de la seguridad de la información ......... 58
1.6.
COMPARACIÓN DE LA NORMA NTE INEN-ISO/IEC 27005:2012 CON
OTRAS NORMAS ................................................................................................ 60
1.6.1. Publicación especial del NIST 800-160 (Borrador Público inicial), Ingeniería
de Sistemas de Seguridad, un enfoque integrado a la Construcción de Sistemas de
Confianza Resistentes, de mayo 2014. ................................................................ 60
1.6.2. IEC 31010:2009 - Técnicas de evaluación de riesgos - Gestión del riesgo 63
1.6.3. NORMAS RELACIONADAS AL ÁMBITO FINANCIERO ........................... 66
2. CAPÍTULO 2 ..................................................................................................... 69
ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN EN LA
DIRECCIÓN
NACIONAL
DE
DESARROLLO
TECNOLÓGICO
EN
TELECOMUNICACIONES (DTT) ......................................................................... 69
2.1.
INTRODUCCIÓN ....................................................................................... 69
2.2.
DESCRIPCIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA
DIRECCIÓN
NACIONAL
DE
DESARROLLO
TECNOLÓGICO
EN
TELECOMUNICACIONES (DTT) ......................................................................... 71
2.2.1. ESTUDIO DE LA ORGANIZACIÓN ........................................................... 71
2.3.
DESCRIPCIÓN DE LA EVALUACIÓN DE GOBIERNO DE TI PARA LA
DIRECCIÓN NACIONAL DE DESARROLLO EN TELECOMUNICACIONES (DTT)
.................................................................................................................. 88
2.3.1. Modelo de Gobierno DTT .......................................................................... 89
2.4.
ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN EN LA
DIRECCIÓN
NACIONAL
DE
DESARROLLO
TECNOLÓGICO
EN
TELECOMUNICACIONES ................................................................................... 90
2.4.1. ESTABLECIMIENTO DEL CONTEXTO ..................................................... 90
2.4.2. VALORACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN ..
.................................................................................................................. 99
3. CAPÍTULO 3 ................................................................................................... 208
x
TRATAMIENTO DE LOS RIESGOS PRESENTES EN LA DIRECCIÓN NACIONAL
DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES ................. 208
3.1.
INTRODUCCIÓN ..................................................................................... 208
3.2.
TRATAMIENTO DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN
................................................................................................................ 209
3.2.1. Reducción del riesgo ............................................................................... 209
3.2.2. Retención del riesgo ................................................................................ 209
3.2.3. Evitación del riesgo.................................................................................. 209
3.2.4. Transferencia del riesgo .......................................................................... 210
3.2.5. Identificación de los controles de la Norma NTE INEN-ISO/IEC 27002:2009
para la DTT ........................................................................................................ 210
3.3.
TRATAMIENTO DE LOS RIESGOS EN LA SEGURIDAD DE LA
INFORMACIÓN PRESENTES EN LA DTT, APLICANDO LOS CONTROLES DE LA
NORMA NTE INEN-ISO/IEC 27002:2009 .......................................................... 259
4. CAPÍTULO 4 ................................................................................................... 295
DISEÑO DEL SISTEMA PARA LA GESTIÓN DE LOS RIESGOS EN LA
SEGURIDAD DE LA INFORMACIÓN PARA LA DIRECCIÓN NACIONAL DE
DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES DE LA SUPERTEL
........................................................................................................................... 295
4.1.
INTRODUCCIÓN ..................................................................................... 295
4.2.
CONTROLES EXISTENTES EN LOS SERVICIOS DE LA DTT SEGÚN LA
NORMA NTE INEN-ISO/IEC 27002:2009 .......................................................... 296
4.3.
RECOMENDACIONES PARA LOS CONTROLES A APLICAR EN LA DTT
SEGÚN LA NORMA NTE INEN-ISO/IEC 27002:2009 ....................................... 298
4.4.
FUNCIONAMIENTO DE GOBIERNO DE TI ENFOCADO A LA GESTIÓN DE
RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN .................................... 382
4.4.1. Procesos relacionados al Gobierno de TI ................................................ 383
4.4.2. Procesos relacionados a la Gestión de TI ............................................... 383
5. CAPÍTULO 5 ................................................................................................... 390
xi
CONCLUSIONES Y RECOMENDACIONES ..................................................... 390
5.1.
CONCLUSIONES .................................................................................... 390
5.2.
RECOMENDACIONES............................................................................ 393
REFERENCIAS BIBLIOGRÁFICAS ................................................................... 395
xii
ÍNDICE DE TABLAS
Tabla 1.1. Alineamiento del SGSI y el proceso de Gestión del Riesgo de la
Seguridad de la Información................................................................................. 43
Tabla 1.2. Comparación de la NTE INEN-ISO/IEC 27005:2012 con otras normas
............................................................................................................................. 67
Tabla 2.1. Número de puntos de datos utilizados en el Edificio matriz ................. 86
Tabla 2.2. Probabilidad de Ocurrencia de las vulnerabilidades ............................ 92
Tabla 2.3. Impacto de acuerdo al tiempo sin funcionamiento del servicio ............ 92
Tabla 2.4. Pérdida de información por caída del servicio ..................................... 92
Tabla 2.5. Nivel de evaluación del Riesgo ............................................................ 93
Tabla 2.6. Combinaciones de valores de los criterios básicos ............................. 94
Tabla 2.7. Criterios de Aceptación y Tratamiento del Riesgo................................ 98
Tabla 2.8. Identificación de amenazas ............................................................... 134
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos ............. 138
Tabla 2.10. Valoración del riesgo servicio Oracle ............................................... 153
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos ..................... 159
Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel ..................... 167
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR ......................................... 170
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel .............. 177
Tabla 2.15. Valoración del riesgo servicio Antivirus ............................................ 184
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP ........................... 190
Tabla 2.17. Valoración del riesgo servicio Switching y Routing .......................... 196
Tabla 2.18. Valoración del riesgo servicio Telefonía IP ....................................... 203
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar ................. 261
Tabla 4.1. Controles aplicados en la DTT ........................................................... 296
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la
DTT .................................................................................................................... 299
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT ................. 356
xiii
ÍNDICE DE FIGURAS
Figura 1.1. Posible certificado y su hash .............................................................. 10
Figura 1.2. Sistema que implementa IPSec ......................................................... 12
Figura 1.3. Forma general de un firewall .............................................................. 13
Figura 1.4. (a) Una red privada alquilada
(b)Una red privada virtual............. 14
Figura 1.5. Marco de Referencia para el Gobierno y la Gestión de las TI de la
empresa ............................................................................................................... 16
Figura 1.6. Gobierno y Gestión en COBIT 5......................................................... 17
Figura 1.7. Roles Actividades y Relaciones Clave ............................................... 18
Figura 1.8. Las Áreas clave de Gobierno y Gestión de COBIT 5 ......................... 20
Figura 1.9. Proceso EDM03 y sus objetivos relacionados con TI ......................... 22
Figura 1.10.Proceso APO12 y sus objetivos relacionados con TI ........................ 23
Figura 1.11. Proceso APO 13 y sus objetivos relacionados con TI ...................... 24
Figura 1.12. Proceso DSS05 y sus objetivos relacionados con TI ....................... 25
Figura 1.13. Modelo PDCA aplicado a los procesos del SGSI ............................. 27
Figura 1.14. Proceso de gestión del riesgo de la seguridad de la información .... 41
Figura 1.15. Actividad para el tratamiento del riesgo ............................................ 56
Figura 1.16. Principales contribuciones de la Ingeniería de Sistemas de Seguridad
............................................................................................................................. 61
Figura 2.1. Secciones utilizadas de la Norma NTE INEN-ISO/IEC 27005:2012... 70
Figura
2.2.
Estructura
Organizacional
de
la
Superintendencia
de
Telecomunicaciones ............................................................................................. 76
Figura 2.3. Ubicación geográfica de la SUPERTEL (DTT) ................................... 76
Figura 2.4. Plano Topológico del Centro de Cómputo en el Edificio Matriz
SUPERTEL .......................................................................................................... 81
Figura 2.5. Topología de la red ............................................................................. 83
Figura 2.6. Plataformas utilizadas en los servidores ............................................ 85
Figura 2.7. Cuarto de UPS ................................................................................... 87
Figura 2.8. Obtención de valores de nivel del riesgo ............................................ 97
Figura 2.9. Esquema para la valoración de riegos en la seguridad de la información
........................................................................................................................... 151
Figura 3.1. Tratamiento de riesgos en la seguridad de la información ............... 208
xiv
Figura 4.1. Representación de la aplicación de controles a los servicios de la DTT
........................................................................................................................... 295
Figura 4.2. Proceso EDM03 y sus objetivos relacionados con Ti ....................... 385
Figura 4.3. Proceso APO12 y sus objetivos relacionados con TI ....................... 386
Figura 4.4. Proceso APO13 y sus objetivos relacionados con TI ...................... 387
Figura 4.5. Proceso DSS05 y sus objetivos relacionados con TI ....................... 388
xv
RESUMEN
El presente proyecto desarrolla un Sistema de Gestión de Riesgos en la
Seguridad de la Información, orientado al Gobierno de TI en base a la Norma NTE
INEN-ISO/IEC 27005:2012 para la Dirección Nacional de Desarrollo Tecnológico en
Telecomunicaciones (DTT) de la Superintendencia de Telecomunicaciones.
La gestión de riesgos se realiza mediante la aplicación de las diferentes
fases descritas en la Norma NTE INEN-ISO/IEC 27005:2012, a través del
establecimiento del contexto, valoración de los riesgos, tratamiento de los riesgos,
aceptación y comunicación de los riesgos, para los diferentes servicios a cargo de
la DTT.
Este proyecto toma en consideración conceptos pertinentes a la parte de
seguridad de Gobierno de TI descritas en COBIT 5, centrándose especialmente en
los procesos que tratan la Gestión de Riesgos, estos criterios son enlazados con
los lineamientos contenidos en la Norma NTE INEN-ISO/IEC 27005:2012.
En el Capítulo 1 se describen diferentes conceptos de la Seguridad de la
Información, se realiza la descripción de las Normas NTE INEN-ISO/IEC
27001:2011, NTE INEN-ISO/IEC 27002:2009 y el análisis de la Norma NTE INENISO/IEC 27005:2012, permitiendo tener una visión general de la Gestión de
Riesgos en la Seguridad de la Información, además se presenta una breve
introducción al Gobierno de TI basado en COBIT 5.
El Capítulo 2 está dividido en dos grandes temáticas, la primera es la
Descripción de la Infraestructura Tecnológica de la Dirección Nacional de Desarrollo
Tecnológico en Telecomunicaciones (DTT), en la segunda parte del mismo se
elabora el Análisis de Riesgos en la Seguridad de la Información de la
Infraestructura Tecnológica de la DTT; la parte final de este capítulo contiene la
valoración de los riesgos en la seguridad de la información de acuerdo a la norma
NTE INEN-ISO/IEC 27005:2012.
El Capítulo 3 describe el tratamiento para los Riesgos en la Seguridad de la
Información presentes en la DTT, que se encontraron en base al Análisis de riesgos
en la seguridad de la información descritos en el Capítulo 2.
En el Capítulo 4 se presentan recomendaciones para la aplicación de los
controles faltantes y recomendaciones para aquellos que actualmente son
xvi
utilizados en la DTT y que pueden ser mejorados, con la finalidad de que su
aplicación sea la adecuada y de acuerdo a la realidad de la DTT; además se
presenta una metodología de trabajo enfocada a la seguridad de la información de
acuerdo a lo que establece COBIT 5, con la finalidad de definir buenas prácticas de
seguridad de la información y Gobierno de TI.
En el Capítulo 5 se presentan las conclusiones y recomendaciones que se
obtuvieron en la realización de este trabajo. Además se incluyen como anexos en
formato digital cada una de las normas utilizadas en el desarrollo de este proyecto.
xvii
PRESENTACIÓN
La Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones
necesita contar con un Diseño de un Sistema que haga la Gestión de Riesgos en
la Seguridad de la Información, basándose en la guía de la Norma NTE INENISO/IEC 27005: 2012, ya que al ser una Institución del Estado debe cumplir con los
máximos estándares de Seguridad en la Información.
La DTT es la encargada de manejar cuatro ejes fundamentales: soporte
informático a funcionarios, desarrollo de software para la Institución, infraestructura
de la red y levantamiento de requerimientos para proyectos, por lo cual, tener un
Sistema para la Gestión de Riesgos en la Seguridad de la Información es
indispensable, ya que esta dirección es el punto donde se concentra y manipula la
información de la red de la SUPERTEL.
La gestión del riesgo en la seguridad de la información debe tratarse como
un proceso continuo, que establezca el contexto, evalúe los riesgos y trate los
riesgos, con lo cual la gestión del riesgo analiza lo que puede suceder y cuáles
pueden ser las posibles consecuencias, con el fin de reducir el riesgo hasta un nivel
aceptable. La seguridad de la información se logra implementando los controles
apropiados, que permitan minimizar los riesgos existentes y prevenir la aparición
de nuevos riesgos.
De acuerdo a la nueva Ley Orgánica de Telecomunicaciones, se establece
la creación de la Agencia de Regulación y Control de las Telecomunicaciones
(ARCOTEL),
sustituyendo
a
la
Superintendencia
de Telecomunicaciones
(SUPERTEL), al Consejo Nacional de Telecomunicaciones (CONATEL) y a la
Secretaría Nacional de Telecomunicaciones (SENATEL), por lo cual se propone que
para la lectura de este proyecto se use el término ARCOTEL en lugar de
SUPERTEL considerando que las funciones a cargo de la Dirección Nacional de
Desarrollo Tecnológico en Telecomunicaciones (DTT) se siguen manteniendo
dentro de esta nueva Institución.
1
1.CAPÍTULO 1
MARCO TEÓRICO
1.1. CONCEPTOS
GENERALES
DE
SEGURIDAD
DE
LA
INFORMACIÓN
1.1.1. INTRODUCCIÓN
En la actualidad la seguridad de la información es de gran importancia para
una empresa, tanto en lo que se refiere a la parte física que se encarga del
almacenamiento de la información, como en la parte administrativa que trabaja en
el manejo adecuado de la misma.
Considerando que en la actualidad la mayor parte de la información se tiende
a almacenar en forma digital, y que no solo se puede acceder a la misma de manera
local, sino que se tienen grandes redes que conectan a varias partes del mundo,
ésta debe viajar grandes distancias hasta llegar a su destino, por lo que la seguridad
de la información trata de prevenir que pase algo que impida que llegue a su destino
de manera correcta.
Al tener una gran cantidad de equipos interconectados entre sí con el fin de
intercambiar información, también se debe prevenir que solo puedan acceder a la
misma los usuarios que estén autorizados para hacerlo; y que el manejo que dichos
usuarios hacen durante su acceso sea controlado, es decir, que en la seguridad de
la información se debe detectar, corregir y prevenir errores en la transmisión de la
misma.
En el capítulo 1 se describirán las nociones que se relacionan con la
seguridad de la información, que ayudaron a través del tiempo a que se vaya
consolidando la idea de que ésta es un bien de gran valor para las organizaciones
y que debe ser protegida y tratada correctamente. Se describen algunos
mecanismos para lograr esta seguridad en la información.
Se detallan los conceptos que se relacionan con la seguridad de la
información que se describen en COBIT 5.0, y que es considerado en el desarrollo
de este proyecto; también se tiene la descripción de las normas NTE INEN-ISO/IEC
2
27001: 2011, NTE INEN-ISO/IEC 27002: 2009 y un análisis de la norma NTE INENISO/IEC 27005: 2012, para la comprensión de lo que dichas normas plantean en el
tratamiento de los riesgos en la seguridad de la información.
1.1.2. CONCEPTOS DE SEGURIDAD
Del libro “Network Security Essencials, Aplications and Standars ” de
Stallings [1, p. 3] se presenta una definición de seguridad computacional: “La
seguridad computacional es la que ofrece un sistema de información automatizado
con el fin de alcanzar los objetivos aplicables de preservación de la integridad,
disponibilidad y confiabilidad de los recursos del sistema de información (incluido
hardware, software firmware, información/data y telecomunicaciones)”. Al tomar
como ejemplo esta definición, se ve que al hablar de seguridad de la información
se deben definir otros términos que permiten que se entiendan las acciones
necesarias para tener seguridad y también otros términos que hablan de cómo se
vulnera la misma.
1.1.2.1. Vulnerabilidad
Se define como una debilidad que puede ser aprovechada para ser atacada,
la cual puede aparecer en elementos de hardware y software; pero una
vulnerabilidad no tendrá importancia si no existe una amenaza hacia la misma, por
lo que estos dos conceptos están estrechamente relacionados.
1.1.2.2. Amenaza
También llamada threat (en inglés), es la posibilidad de que se aproveche
una vulnerabilidad. En [1, p. 9] se define una amenaza como: “Una potencial
violación de la seguridad, que existe cuando hay una circunstancia, la capacidad,
acción o evento que podría violar la seguridad y causar daños”. Las amenazas se
pueden catalogar como accidentales o intencionales. Las amenazas accidentales
son las que aparecen de forma no premeditada, pueden aparecer a causa de un
incorrecto uso de recursos por parte de algún usuario o por fallas de software no
previstas. Las amenazas intencionales son las que aparecen de forma maliciosa
para hacer un uso incorrecto de los recursos de la red, por lo que a este tipo de
amenaza se le llama ataque.
3
Las amenazas se pueden clasificar en cuatro grupos:
1.1.2.2.1. Destrucción de la información
En este tipo de amenaza se busca destruir todo o parte de la información
para que no pueda ser utilizada.
1.1.2.2.2. Modificación de la información
Se cambia el contenido de un mensaje, pudiendo modificar, quitar o añadir
partes del mismo, en busca de perjudicar las comunicaciones.
1.1.2.2.3. Robo de información
Se produce cuando se recepta la información de manera indebida, y también
cuando se divulga cierta información entre usuarios que no tenían permisos para
acceder a la misma.
1.1.2.2.4. Interrupción de un servicio
Consiste en evitar que los usuarios de un servicio accedan al mismo,
evitando que cumplan con alguna tarea.
1.1.2.3. Riesgo
Se puede definir como la medida del costo de una vulnerabilidad; en
términos más comprensibles se puede decir que un riesgo indica qué tan efectivo
es un ataque. Tomando la definición de Riesgo de la Seguridad de la Información
de la Norma 27005 [2] se define como: “potencial de que una amenaza determinada
explote las vulnerabilidades de los activos o grupos de activos causando así daño
a la organización”. Por medio de los riesgos se pueden realizar análisis del sistema
y tomar decisiones que permitan un mejor manejo de la información.
1.1.2.4. Ataque
Cuando se ejecuta una amenaza intencionalmente, se le conoce como
ataque. En [1, p. 9] se define un ataque como: “Un asalto a la seguridad del sistema
que se deriva de una amenaza inteligente. Éste es un acto inteligente que es un
4
intento deliberado (sobre todo en el sentido de un método o técnica) para evadir los
servicios de seguridad y de violar la política de seguridad de un sistema”.
Los ataques pueden ser vistos como internos a los que se producen dentro
de la organización, y como externos a los que provienen de lugares externos a la
organización. Los ataques también pueden clasificarse de dos formas: ataques
pasivos y ataques activos. Y además se considera otro tipo de ataque conocido
como ataque lógico.
1.1.2.4.1. Ataques pasivos
Los ataques pasivos son lo que se realizan de manera que no afectan al
normal funcionamiento del sistema; el objetivo de estos ataques es obtener la
información que está siendo transmitida.
Estos ataques son difíciles de detectar ya que el sistema continúa
funcionando normalmente, y los mensajes enviados a determinado destinatario son
recibidos tanto por éste como por una tercera parte (el atacante).
1.1.2.4.2. Ataques activos
Los ataques activos son lo que buscan alterar el normal funcionamiento de
la red, ya sea atacando a los equipos o a la información directamente, para lo cual
se puede recurrir a modificar parte de la información o incluso crear falsos mensajes.
Estos ataques se pueden dividir en cuatro categorías, que resumen los principales
efectos de los mismos:
·
Suplantación de identidad (Masquerade)
·
Repetición del contenido (Reply)
·
Modificación del mensaje (Modification)
·
Denegación del servicio (Denial of Service)
1.1.2.4.3. Ataques Lógicos
Son otros tipos de ataques cuyo resultado es uno de los perjuicios descritos
anteriormente en los ataques activos; están conformados por un grupo de
programas que pueden dañar el sistema informático, los cuales pueden haber sido
creados de forma malintencionada o por error, entre los cuales se tienen:
5
·
Virus: Es un programa desarrollado de tal forma que se reproduce a
sí mismo, una vez que se instala en un equipo causa destrucción de
la información o en general de los recursos del sistema; pueden viajar
adjuntos a un correo electrónico, en una página web, o por algún otro
medio, y tratan de esparcirse hacia otras máquinas creando
autocopias.
·
Gusanos (Warms): Son programas auto replicables y se transmiten a
través de las redes, pudiendo incluso llevar virus, y en general dañar
los sistemas a donde llegan. Tienen la capacidad de mutación, por los
equipos
deben
contar
con
un
antivirus
que
se
actualice
constantemente con el fin de que se prevengan infecciones contra las
diferentes mutaciones que vayan surgiendo.
·
Bacterias: Estos programas se derivan de los gusanos, porque
pueden reproducirse rápidamente y causan la saturación de los
recursos del sistema, provocando una denegación del servicio ya que
no se pueden gestionar peticiones de usuarios legítimos.
·
Bomba lógica: Es un programa en cuyo código se crea una
determinada tarea en la que se especifica que si se cumple una
condición determinada se producirá un evento que puede provocar
una perturbación en el sistema.
·
Caballo de Troya (Trojan Horse): Este tipo de programas tienen en su
código instrucciones que ejecutan tareas adicionales a las propias de
sus funciones para que el atacante actúe sin ser visto, obteniendo
información importante del sistema, o directamente asegurar la
entrada del atacante para causar daños en el sistema.
·
Puerta trasera: Este concepto se refiere a accesos que se crean en
una aplicación en el entorno de desarrollo, que permiten una entrada
rápida a la misma evadiendo de alguna manera la autenticación de la
aplicación.
1.1.2.5. Intrusos
Se han detallado diferentes tipos de ataques, pero cabe describir algunas
definiciones sobre los encargados de realizar las diferentes irrupciones en las redes.
6
En general se puede decir que a los intrusos se los conoce comúnmente como
hackers o crackers, que definen a las personas que tiene un amplio conocimiento
informático, pero su diferencia radica en el uso que dan a sus conocimientos.
1.1.2.5.1. Hackers
Este término ha sido ampliamente usado para referirse a las personas que
irrumpen en la red de manera no autorizada, pero una aclaración que se tiene en
la actualidad acerca de esta definición es que, si bien un hacker provoca una
perturbación en el normal funcionamiento de la red, no lo hace con la finalidad de
obtener un beneficio económico, sino más bien busca un reconocimiento a su
capacidad de irrumpir en la seguridad de un sistema; se puede concluir que los
hackers no buscan hacer daño en la red, sino más bien detectar sus
vulnerabilidades para realizar mejoras en la seguridad; esto también es conocido
como hacking ético, o hacker de sombrero blanco.
1.1.2.5.2. Crackers
Se definen de esta manera a los individuos que buscan perjudicar el
funcionamiento de una red, ya sea por el robo de la información, descifrar claves y
algoritmos de cifrado o incluso la destrucción de información; más conocido como
hacker de sombrero negro.
Se dedican a navegar en las redes y violan la seguridad de las mismas pero
con fines mal intencionados; por lo general los crackers buscan obtener un
beneficio económico como resultado de sus acciones, ya sea por la venta de
información robada o perjudicando económicamente a alguien al robar su
contraseña y retirar dinero de su cuenta, por ejemplo.
1.1.2.6. Servicios de seguridad
Un servicio de seguridad es un proceso (o dispositivo que realiza dicho
proceso) diseñado para detectar, prevenir o recuperarse de un ataque a la
seguridad; los servicios de seguridad buscan proteger la información de ciertos
ataques. Se puede dividir a los servicios de seguridad en varias categorías
descritas a continuación.
7
1.1.2.6.1. Autenticación
El servicio de autenticación se encarga de asegurar que la entidad que se
comunica sea realmente quien dice ser. En una comunicación que se esté llevando
a cabo, se deben considerar dos aspectos, el primero es asegurar que al momento
de iniciar la conexión entre dos entidades, éstas sean auténticas, es decir que sean
quienes dicen ser; el segundo aspecto es que el servicio asegure que la
comunicación no sea interferida por una tercera parte haciéndose pasar por una de
las dos entidades originales, todo esto con el fin de trasmitir o recibir información
de forma no autorizada (ataque por suplantación de identidad).
1.1.2.6.2. Control de acceso
Este servicio se refiere a la capacidad del sistema para limitar y controlar el
acceso por medio de los enlaces de comunicación, para lo cual se necesita también
un servicio de autenticación que permita dar los accesos autorizados para cada
usuario.
1.1.2.6.3. Confidencialidad de la información
La confidencialidad permite proteger la información que se transmite ante
ataques pasivos, pudiendo hacerse en diferentes niveles que permitan proteger
toda la comunicación o solamente una parte de un mensaje. Se debe tomar en
cuenta que la confidencialidad busca evitar que se haga un análisis de tráfico de
una red por parte de un atacante que quiera conocer la fuente, destino, frecuencia
de envío o características de una comunicación.
1.1.2.6.4. Integridad de la información
La integridad puede aplicarse tanto para un solo mensaje como para un
stream de mensajes. Un servicio de integridad para proteger un stream de
mensajes será capaz de proteger contra ataques de modificación, repetición de
contenido, e incluso contra destrucción de la información. Si se usa una
comunicación no orientada a la conexión, solamente se puede proteger a los
mensajes de forma individual y solamente de la modificación de los mismos.
Este servicio puede implementarse con o sin recuperación ante un ataque
activo; en el caso de un servicio sin recuperación, éste solamente detectará la
8
violación de la integridad, pero se necesitará que la recuperación ante el ataque
sea hecha por una persona o por un software encargado de esta tarea, mientras
que un servicio con recuperación ante un ataque incorporará algún mecanismo que
permita recuperar la pérdida de integridad de la información, esta segunda opción
es la más utilizada.
1.1.2.6.5. No repudio
Este servicio busca que el emisor o receptor de un mensaje no nieguen
haberlo transmitido o recibido, de modo que el emisor/receptor de un mensaje
pueda comprobar que el mensaje fue recibido/transmitido.
1.1.2.6.6. Disponibilidad
Se define a la disponibilidad como la propiedad de un sistema o recursos de
un sistema de ser accesible y de poder ser utilizado el momento en el que se lo
necesite por las entidades autorizadas. Algunos tipos de ataques pueden provocar
la pérdida de disponibilidad, pero la utilización de servicios de autenticación y
control de acceso pueden hasta cierto nivel ayudar a evitar la falta de disponibilidad.
1.1.2.7. Mecanismos de Seguridad
Los mecanismos de seguridad hacen posible que se implementen los
servicios de seguridad, y cada mecanismo debe ser adaptado a las necesidades
de cada sistema, por lo que no se tiene un mecanismo genérico que asegure una
buena implementación de algún servicio de seguridad para cualquier red. Se
describe el cifrado ya que es el mecanismo de seguridad más utilizado.
1.1.2.7.1. Cifrado
Este mecanismo de seguridad debe aplicarse en la capa apropiada del
modelo OSI donde se tenga algún servicio de seguridad; consiste en usar
algoritmos matemáticos que permitan transformar el mensaje que se desea
transmitir en algo que no sea entendible por otro usuario que no sea el destinatario
autorizado, el cual será capaz de recuperar la forma original del mensaje. Algunos
de estos algoritmos son:
9
·
Algoritmos de Clave Simétrica: utilizan una misma clave para el
cifrado y descifrado; entre los algoritmos más importantes
actualmente se tienen DES, Triple DES y AES.
·
Algoritmos de Clave Pública: utiliza claves diferentes para cifrado y
descifrado, y la clave de descifrado no puede derivarse de la clave de
cifrado. Para esto, cada usuario debe tener una clave pública y una
privada, la clave pública es la que se utiliza para el cifrado, la clave
privada se utiliza para descifrado ya que con esto se asegura que solo
el destinatario legítimo pueda descifrar el mensaje. Como ejemplos
de estos algoritmos se tienen el algoritmo RSA y las firmas digitales;
se detalla lo relacionado a firmas digitales.
o Firmas Digitales: muchos documentos legales, financieros y de
otros tipos necesitan una firma autorizada; como se busca
reemplazar totalmente los papeles impresos, se necesita una
forma de que la firma de los documentos sea infalsificable; según
lo dicho en el libro “Redes de Computadoras” de Tanenbaum [3,
p. 756] se busca que un origen envíe un mensaje “firmado” a un
destino, de modo que se cumplan las siguientes condiciones:
1.
El receptor pueda verificar la identidad del transmisor.
2.
El transmisor no pueda repudiar (negar) después el contenido
del mensaje.
3.
El receptor no haya podido elaborar el mensaje él mismo.
Para cumplir con estos objetivos, se tiene la firma digital, que
consiste en
tener datos adjuntos o una
transformación
criptográfica de una porción de datos determinada, por medio de
la cual el receptor puede verificar que el origen de esa información
no ha sido falsificado y que la integridad de la misma no se ha
quebrantado
Se tienen firmas de clave simétrica en donde se busca que una
sola autoridad central en la que todos confíen tenga las claves de
todos; entonces cada usuario escoge una clave secreta y la
comparte solamente con esta autoridad, por lo que cuando la
autoridad central reciba un mensaje de determinado usuario, ésta
10
lo descifrará con la clave de ese usuario y se asegura de que fue
ese usuario el que envió el mensaje. Y las firmas de clave pública,
donde la firma de los documentos no requiera de una autoridad
confiable que la certifique.
·
Compendio del mensaje (Message digest - MD): Los sistemas de
firma digital combinan dos funciones desiguales: autenticación y
confidencialidad, ya que se tiene casos en los que no se requiere
confidencialidad, pero sí autenticación. El uso de compendios de
mensaje puede acelerar los algoritmos de firma digital.
·
Administración de Claves Públicas: Al usar una clave pública se da la
posibilidad de que dos personas que no comparten una clave secreta
se puedan comunicar con seguridad, y posibilita que los mensajes
sean firmados sin la presencia de un tercero confiable, y al usar
compendios de mensaje se puede verificar más fácilmente la
integridad de mensajes recibidos. Aun así, se tiene el problema de
que se podría falsificar la identidad de la persona dueña de esa clave
pública, debido a que no se tiene una forma segura de intercambiar
claves públicas; por esto se tienen formas de prevenir estas
situaciones, a continuación, se describe una de ellas.
o Certificados: La solución que se dio para asegurar las claves
públicas es la creación de una organización que certifique las
claves públicas, conocido como CA (autoridad de certificación),
que se encarga de certificar las claves públicas que pertenecen a
personas, empresas y otras organizaciones. El CA emitirá un
certificado como el que se ve en la Figura 1.1, y se le entregará a
la persona solicitante del certificado un disco flexible que contiene
el certificado y su hash firmado.
Figura 1.1. Posible certificado y su hash [3, p. 766]
11
Un certificado enlaza una clave pública con un nombre principal
(persona, empresa, etc.), y cabe mencionar que los certificados
no son privados ya que si una persona desea puede ponerlo
disponible para otras.
Otra situación a mencionarse es la revocación de certificados,
esto puede darse cuando el que otorgó el certificado decide
hacerlo, considerando factores como: la clave privada del sujeto
se ha expuesto o la clave del CA está en peligro.
1.1.2.8. Seguridad en la Comunicación
Se debe mencionar cómo funciona la seguridad en una comunicación, es
decir, qué métodos se pueden utilizar para que los datos viajen sin modificarse y de
forma segura desde el origen hasta el destino, y además evitando que se
introduzcan bits no deseados. Para ello se tienen algunos elementos que se
describen brevemente.
1.1.2.8.1. IPsec
En búsqueda de implementar seguridad en Internet, se pensaron diversas
alternativas, una era implementarla de extremo a extremo (es decir en la capa
aplicación), pero esto requería que las aplicaciones cambien para que estén
conscientes de la seguridad, por lo que el siguiente enfoque era tener seguridad en
capa transporte y no tener que cambiar las aplicaciones; pero además se tenía otro
enfoque en la que los usuarios no entienden la seguridad y no la utilicen
correctamente, por lo que la capa red debe autenticar y/o cifrar los paquetes, es por
esto que se desarrolló un estándar de seguridad de capa de red que aplique la
seguridad correctamente y que los usuarios no estén conscientes de ella hasta
cierto punto, el resultado de este análisis fue IPsec (Seguridad IP). Los servicios
principales de IPSec son confidencialidad, integridad de datos y protección contra
ataques de repetición, los cuales se basan en criptografía de base simétrica porque
necesitan tener alto rendimiento. IPsec puede trabajar de dos modos: modo
transporte y modo túnel.
·
Modo transporte: El encabezado IPsec se inserta después del
encabezado IP y el campo protocolo de la cabecera IP se modifica
12
para indicar que un encabezado IPsec se encuentra después del
encabezado IP.
·
Modo túnel: Todo el paquete IP se empaqueta en el cuerpo de un
nuevo paquete IP. Esto es útil cuando un túnel termina en un punto
que no sea el destino final, con lo que los dispositivos intermedios
involucrados deben estar al tanto de IPsec y no los usuarios en la LAN.
También se utiliza cuando se agrega un conjunto de conexiones TCP
y se las quiere manejar como un solo flujo cifrado para evitar que
atacantes vean la cantidad de tráfico que está pasando; pero tiene
una desventaja y es el tener que encapsular en otro paquete IP,
aumentando el tamaño del paquete. La Figura 1.2 muestra un sistema
implementado con IPsec.
Figura 1.2. Sistema que implementa IPSec [1, p. 272]
1.1.2.8.1. Firewalls
Existe gran cantidad de información confidencial que circula en la red que
debe ser protegida de fuga de información y del peligro de infiltración de información,
13
como virus, gusanos, etc., los cuales pueden destruir datos y perjudicar el
funcionamiento de la red.
Los firewalls o también llamados servidores de seguridad, son dispositivos
por los cuales debe pasar todo el tráfico entrante y saliente de diferentes LAN
externas conectadas al mismo para ser inspeccionado, y luego poder ingresar a
una LAN interna.
Los paquetes entrantes o salientes que cumplan con algún criterio
configurado en el firewall podrán pasar, caso contrario serán descartados. Los
criterios mencionados son conocidos como filtros de paquetes que son
configurados en forma de tablas por el administrador del sistema, es decir que lo
que un firewall hace es básicamente evitar que pasen intrusos a la red y que salga
información confidencial, de forma general se puede representar al firewall como
se ve en la Figura 1.3.
Figura 1.3. Forma general de un firewall [1, p. 379]
1.1.2.8.1. Redes privadas virtuales
Una red privada se creaba cuando las compañías alquilaban líneas
telefónicas privadas para conectar algunas ubicaciones, pero su principal
inconveniente es el costo de alquilar una o más líneas dedicadas; con el
surgimiento de las redes públicas de datos, las compañías decidieron trasladar su
tráfico de datos a estas redes, pero buscando mantener la seguridad. Las redes
privadas virtuales (VPN) son redes que se superponen en las redes públicas a las
que se les configuran propiedades de las redes privadas.
El término virtual hace referencia a que no son reales sino solo una ilusión.
Las redes privadas virtuales pueden implementarse en la actualidad directamente
sobre Internet usando los firewalls donde empiezan y terminan los túneles,
14
estableciendo la separación entre el Internet y la organización, como se observa en
la Figura 1.4 literal (b) [3, p. 779].
Figura 1.4. (a) Una red privada alquilada
(b)Una red privada virtual
1.1.2.8.2. Seguridad inalámbrica
La seguridad inalámbrica surge de la idea de que un intruso que utilice una
conexión inalámbrica pueda pasar sobre la seguridad del firewall y capturar los
paquetes de información que circulan en la red, por ello se considera más
importante proteger los sistemas inalámbricos, mencionando además que en la
actualidad las comunicaciones inalámbricas son ampliamente utilizadas en todo el
mundo.
·
Seguridad 802.11: Este estándar establece un protocolo que da
seguridad a nivel de capa de enlace de datos llamado WEP (Wireless
Equivalent Privacy); el funcionamiento de este protocolo se basa en
compartir una clave secreta entre la estación que se comunica y la
estación base.
1.1.2.8.3. Seguridad de correo electrónico
Al contrario de lo que se piensa, un correo electrónico pasa por otras
máquinas antes de llegar a su destinatario, por lo que los usuarios que desean que
su correo pueda ser leído solamente por el destinatario deben aplicar algoritmos
criptográficos que permitan producir un correo electrónico seguro. Algunos
sistemas desarrollados para estos fines son:
·
PGP (Pretty Good Privacy)
·
PEM (Privacy Enhanced Mail)
15
1.2. INTRODUCCIÓN AL GOBIERNO DE TI ENFOCADO EN LA
GESTIÓN DE RIESGOS
El seguir una correcta estructura de acuerdo a los mandatos de Gobierno de
TI para la seguridad de la Información, permite desarrollar ordenadamente un
correcto diseño para la seguridad de la información. En el caso de este proyecto, el
diseño está enfocado en la norma 27005 [2], la cual describe de la Gestión de
Riesgos en la Seguridad de la Información.
Gobierno de TI presenta indicaciones para una correcta metodología de
trabajo en lo referente a la seguridad de la información; se pueden citar ciertos
procesos enfocados en los catalizadores de Gobierno de TI: APO (Aling, Plan and
Organice), DSS (Deliver, Service and Support), EDM (Evaluate, Direct and Monitor).
Para todo esto se tiene un modelo de referencia realizado por la empresa ISACA1,
los cuales desarrollan COBIT 5, que abarca diferentes ramas que permiten un
correcto Gobierno de TI.
Este proyecto se basará en COBIT 5 para dar ciertas aclaraciones y emitir
criterios que llevarán a lograr una correcta estructura en todo lo referente a
seguridad de la información, y en los próximos capítulos se establecerá de forma
más concreta la Gestión de Riesgos en la Seguridad de la Información. Se busca
promover el uso óptimo de los recursos que tiene la DTT enfocado en la Gestión
de Riesgos en la Seguridad de la Información, y una correcta administración y uso
de los servicios prestados por esta Dirección.
1.2.1. GOBIERNO DE TI
Está basado en el Marco de COBIT 5, el cual ofrece una guía práctica para
la seguridad de la información a nivel empresarial. Al viajar la información a lo largo
de la Red, ésta debe estar protegida para lograr una buena gestión de la misma.
COBIT 5 permite el desarrollo de políticas y prácticas, requeridas para el control de
las tecnologías de la información en toda la organización, dando como referencia
una familia para metodologías de trabajo, mostradas en la Figura 1.5.
1 ISACA (www.isaca.org) es un líder global proveedor de conocimiento, certificaciones,
comunidad, promoción y educación sobre aseguramiento y seguridad de sistemas de información
(SSII), gobierno empresarial y gestión de TI y riesgo relacionado con TI y cumplimiento.
16
En todas las empresas, sean éstas públicas o privadas, se maneja gran
cantidad de información, la misma que es manipulada por muchas personas, y debe
ser actualizada constantemente para su uso efectivo, por esto se están usando las
tecnologías de información, para que todo este tipo de información se organice y
se distribuya de manera correcta entre las personas de interés y en su debido
momento.
Figura 1.5. Marco de Referencia para el Gobierno y la Gestión de las TI de la
empresa [4, p. 11]
1.2.2. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS
Se puede llegar a satisfacer las necesidades de las partes interesadas
mejorando prácticas de seguridad para minimizar los riesgos, con lo cual las
empresas podrán conseguir beneficios a costos mínimos. COBIT 5 busca manejar
su entorno de aplicación de manera óptima, para esto se aplica la creación del valor,
dando como puntos importantes: la realización de beneficios, optimización del
riesgo y la optimización de recursos, mejorando las necesidades y requerimientos
de la Dirección Nacional de Desarrollo en Telecomunicaciones. La información es
una de las categorías catalizadoras de COBIT 5, definiendo requisitos exhaustivos
y complementos para la información, así como también el ciclo de vida para el
procesamiento de la información, dando soporte al negocio y al enfoque de contexto.
1.2.3. ENFOQUE DE GOBIERNO
En el enfoque de Gobierno para la Dirección Nacional de Desarrollo
Tecnológico en Telecomunicaciones, abarcando todos sus servicios y riesgos
existentes, COBIT 5 muestra componentes claves para un buen sistema de
17
gobierno, de acuerdo a la Figura 1.6. Se tienen dos divisiones adicionales en la
Optimización del Riesgo: los Catalizadores de Gobierno y el Alcance de Gobierno,
las cuales tienen una misma finalidad formal, una buena metodología de trabajo
siguiendo paso a paso lo que se enuncia en COBIT 5. Este proyecto está orientado
únicamente a la parte de Gestión de la Seguridad de la Información, pero por lo
mismo se tienen que hacer pequeñas referencias a esta estructura hasta llegar a
los roles, actividades y relaciones, que justifican la aplicación de la Norma 27005
[2].
Figura 1.6. Gobierno y Gestión en COBIT 5 [4, p. 23]
1.2.3.1. Catalizadores de Gobierno
Según [4, p. 24]: “Los catalizadores de gobierno son los recursos
organizativos para el gobierno, tales como marcos de referencia, principios,
estructuras, procesos y prácticas, a través de los que o hacia los que las acciones
son dirigidas y los objetivos pueden ser alcanzados”. Los catalizadores son la parte
más importante para hacer una buena gestión de Gobierno de TI, pues dentro de
éstos se encuentran todas las necesidades de la empresa y de qué manera se
puede mejorar el desempeño y optimizar los recursos para el bueno uso de la
información; además los catalizadores forman parte de los recursos corporativos
para las aplicaciones, teniendo una buena estructura de gobierno de tecnologías
de información.
18
1.2.3.2. Alcance de Gobierno
Gobierno de TI puede ser aplicado a toda una empresa a o una parte de ella,
en el desarrollo de este proyecto será aplicado a parte de la gestión de la seguridad
de la información, específicamente a la Gestión de Riesgos, de la Dirección
Nacional de Desarrollo Tecnológico en Telecomunicaciones.
1.2.3.3. Roles, Actividades y Relaciones
Se define quién está involucrado en Gobierno, y a su vez de qué forma se
involucra, y cuál será su función dependiendo del alcance del sistema de gobierno;
estas relaciones se muestran en la Figura 1.7.
Figura 1.7. Roles Actividades y Relaciones Clave [4, p. 24]
De esta manera COBIT 5 da lineamientos para otros estándares y marcos
relevantes, como por ejemplo: ITIL, TOGAF y estándares ISO, el último en particular
muy importante para la realización de este proyecto, puesto que se aplica la norma
27005 [2] (Gestión de Riesgo en la Seguridad de la Información).
1.2.4. CATALIZADORES DE COBIT 5
Estos catalizadores contendrán una cascada de metas y los principales
objetivos que tendrá el Gobierno, de esta manera se definen siete diferentes
categorías de catalizadores:
·
Principios, políticas y marcos de referencia
·
Procesos
·
Estructuras organizativas
·
Cultura, ética y comportamiento
·
Información
·
Servicios, estructura y aplicaciones
19
·
Personas, habilidades y competencias
Estas categorías contemplan las metas propuestas y las necesidades de la
entidad, que son parte fundamental de la seguridad de la información, la misma que
requiere de la creación y puesta en marcha de varias políticas y procedimientos,
para buscar la implantación de varias prácticas relacionadas con la seguridad de la
información.
1.2.5. DIMENSIONES DE LOS CATALIZADORES
Las metas de los catalizadores dependerán de las necesidades de la entidad
y los objetivos que se quieren obtener; para fines de este proyecto se quiere
dimensionar estos catalizadores de acuerdo a las necesidades de seguridad de la
información. Las metas pueden ser definidas en términos de:
·
Resultados esperados del catalizador
·
Aplicación u operación del catalizado
Las metas del catalizador son el paso final en la cascada de metas de COBIT
5. Las metas pueden ser divididas a su vez en diferentes categorías, una de ellas
es la Accesibilidad y Seguridad. Los catalizadores y sus resultados son accesibles
y seguros, pues deben estar disponibles cuando se necesiten, de la misma manera
los resultados deben ser asegurados, y las personas autorizadas deben poder
acceder a esta información.
1.2.6. MODELO DE REFERENCIA DE PROCESOS DE COBIT 5
Las empresas definen procesos de gobierno y gestión de manera que las
áreas fundamentales estén cubiertas. De esta manera se forman las áreas claves
de Gobierno y Gestión de COBIT 5. En la Figura 1.8 se puede observar que una
empresa puede tener los procesos que crea conveniente, siempre y cuando los
objetivos que se planteen estén totalmente cubiertos.
COBIT 5 define un modelo de referencia de procesos donde se encuentran
las metas de gobierno y gestión, de esta manera cada empresa define su propio
conjunto de procesos, teniendo en cuenta su situación particular.
La Gestión consta de cuatro dominios, que son: planificar, construir, ejecutar
y supervisar, los cuales proporcionan cobertura de extremo a extremo de las TI.
·
Evaluar, Orientar y Supervisar (Evaluate, Direct and Monitor, EDM)
20
·
Alinear, Planificar y Organizar (Aling, Plan and Organice, APO)
·
Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
·
Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
·
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Cada uno de estos dominios contiene determinado número de procesos.
COBIT 5 en total tiene 37 procesos de gobierno y gestión, de los cuales, para la
seguridad de la información son importantes para este proyecto cuatro procesos
mencionados a continuación:
·
EDM 03, Asegurar la optimización del riesgo
·
APO 12, Gestionar el riesgo
·
APO 13 Gestionar la seguridad
·
DSS 05, Gestionar los servicios de seguridad
Figura 1.8. Las Áreas clave de Gobierno y Gestión de COBIT 5 [4, p. 32]
De la figura Mapeo entre las Metas Relacionadas con las TI de COBIT 5 y
los Procesos [4, pp. 52,53] se toman los procesos de COBIT 5 referentes a
seguridad de la información, describiendo las metas relacionadas con las TI. Las
metas relacionadas con las TI y los procesos de COBIT 5 referentes a seguridad
de la información se relacionan entre sí, y estas relaciones pueden ser definidas
21
como Primarias cuando hay una relación importante, y cuando todavía hay un
vínculo fuerte, pero menos importante se define como Secundaria.
Se describen los procesos relacionados a la seguridad de la información y a
la gestión de riesgos en la seguridad de la información que tienen que ver con el
Gobierno de TI y la Gestión de TI, mediante la Figura 1.9, Figura 1.10, Figura 1.11
y Figura 1.12.
1.2.7. MAPEO DE COBIT 5 CON LOS ESTÁNDARES Y MARCOS DE
TRABAJO RELACIONADOS MÁS RELEVANTES
COBIT 5 hace comparaciones con los estándares y marcos de trabajo más
relevantes y más utilizados en el ámbito de gobierno. Se hace referencia a la serie
de estándares ISO/IEC 27000, que COBIT 5 menciona en las áreas y dominios
relacionados con la seguridad de la información.
1.2.7.1. Dimensión de los Catalizadores
Tiene cuatro dimensiones más comunes:
·
Ciclo de vida
·
Buenas prácticas
·
Partes Interesadas
·
Metas: Éstas se definen en términos de resultados esperados del
catalizador y aplicación u operativa del propio catalizador. Las metas
del catalizador son el último paso de la cascada de metas de COBIT
5. Por esto las metas aún se dividen en diferentes categorías:
o Calidad Intrínseca
o Calidad Contextual
o Accesibilidad y Seguridad
1.2.8. ESTRUCTURAS ORGANIZATIVAS ILUSTRATIVAS EN COBIT 5
Dentro del ciclo de vida de la información, la empresa deberá ser evaluada
periódicamente para ver la evolución de lo producido y qué cambios deben hacerse
en bien de la empresa dentro de los periodos establecidos.
Figura 1.9. Proceso EDM03 y sus objetivos relacionados con TI
22
Figura 1.10.Proceso APO12 y sus objetivos relacionados con TI
23
Figura 1.11. Proceso APO 13 y sus objetivos relacionados con TI
24
Figura 1.12. Proceso DSS05 y sus objetivos relacionados con TI
25
26
1.2.8.1. Gestión
Incluye el uso juicioso de medios (recursos, personas, procesos, prácticas,
etc.) para conseguir un fin identificado. Es un medio o instrumento mediante el cual
el grupo que gobierna consigue un resultado u objetivo; la gestión es responsable
de la ejecución, dentro de la dirección establecida, por el grupo que gobierna. La
gestión se refiere a las actividades operacionales de planificación, construcción,
organización y control, que se alinean con la dirección que establece el grupo que
gobierna y la información sobre dichas actividades.
1.2.8.2. Gestión de riesgos
Es uno de los objetivos de gobierno. Requiere reconocer un riesgo, evaluar
su impacto y probabilidad, y desarrollar estrategias, como, por ejemplo, evitar el
riesgo, reducir el efecto negativo de riesgo y/o transferir el riesgo, para gestionarlo.
1.3. DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC
27001:2011
1.3.1. INTRODUCCIÓN
Esta norma proporciona un modelo para la creación, implementación,
operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión
de la Seguridad de la Información (SGSI). La organización debe establecer cuáles
son las necesidades y objetivos del SGSI, así como también los requisitos de
seguridad, su proceso y estructura para la creación del diseño y la implementación
del SGSI, por lo que la responsabilidad de la organización es definir y gestionar sus
actividades para funcionar correctamente. Esta norma tiene un enfoque por
procesos para la gestión de la seguridad de la información dando importancia a los
siguientes aspectos:
·
La organización deberá tener claramente especificado cuáles son los
requisitos de seguridad de la información y sus objetivos.
·
Hacer uso de los controles necesarios que administren los riesgos en
la seguridad de la información.
·
Supervisar y revisar el rendimiento y la eficacia del SGSI.
27
Esta norma se basa en el modelo "Planificar-hacer-verificar-actuar" (PlanDo-Check-Act conocido como modelo PDCA), que se aplica para estructurar todos
los procesos del SGSI, como se observa en la Figura 1.13.
Figura 1.13. Modelo PDCA aplicado a los procesos del SGSI [5, p. iv]
En [5, p. iv] se describen las actividades que se realizan en cada fase del
PDCA, las cuales se detallan a continuación.
·
Planificar (creación del SGSI): Se definen la política, objetivos,
procesos y procedimientos del SGSI más importantes para gestionar
el riesgo y mejorar la seguridad de la información.
·
Hacer (implementación y operación del SGSI): Implementar y operar
la política, procesos, objetivos, controles, y procedimientos del SGSI.
·
Verificar (supervisión y revisión del SGSI): Monitorizar, Evaluar y el
medir el rendimiento del proceso basado en las políticas, los objetivos
informando los resultados a la dirección para su aprobación.
·
Actuar (mantenimiento y mejora del SGSI): Una vez que se tengan los
resultados se debe proceder hacer una auditoría interna del SGSI por
parte de la dirección. Esta norma está diseñada para posibilitar a una
organización el adaptar su SGSI a los requisitos de los sistemas de
gestión mencionados.
28
1.3.2. OBJETIVO
Esta norma está diseñada para todo tipo de organizaciones llámense éstas
empresas, organismos y entes públicos, entidades sin ánimo de lucro, para lo cual
se especifican los requisitos para la creación, implementación, operación,
supervisión, revisión, mantenimiento y mejora de un SGSI documentado.
Para este proyecto, el cual se fundamenta en la Norma 27005 [2], se trabaja
en la Gestión de Riesgos en la Seguridad de la Información, que es una parte de lo
que en la Norma [5] se describe como fase de planificación (creación del SGSI).
Los requisitos que se establecen en esta norma son genéricos y aplicables a todas
las organizaciones y se tienen que considerar todos los controles existentes
necesarios para cumplir con los criterios de aceptación del riesgo.
1.3.3. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
La organización debe crear, implementar, operar, supervisar, revisar,
mantener y mejorar un SGSI documentado dentro del contexto de las actividades
empresariales generales de la organización y de los riesgos que ésta afronta.
1.3.3.1. Creación del SGSI
La organización está encargada de definir el alcance y los límites del SGSI
en términos de la organización, su ubicación, sus activos y tecnología, incluyendo
los detalles y la justificación de cualquier exclusión del alcance. Para la creación de
un SGSI se debe tomar en cuenta:
·
Definir el enfoque de la evaluación de riesgos de la organización
·
Identificar los riesgos
·
Analizar y valorar los riesgos
·
Identificar y evaluar las opciones para el tratamiento de riesgos
·
Seleccionar los objetivos de control y los controles para el tratamiento
de los riesgos
·
Obtener la aprobación, por parte de la Dirección, de los riesgos
residuales propuestos
·
Obtener la autorización de la Dirección para implementar y operar el
SGSI
29
·
Elaborar una declaración de aplicabilidad
1.3.3.2. Implementación y operación del SGSI
Una vez establecidos los puntos importantes para la creación del SGSI la
organización debe:
·
Formular un plan de tratamiento de riesgos que identifique las
acciones de la Dirección
·
Implementar el plan de tratamiento de riesgos para lograr los objetivos
de control identificados
·
Implementar los controles seleccionados
·
Definir el modo de medir la eficacia de los controles o de los grupos
de controles seleccionados
·
Implementar programas de formación y de concienciación
·
Gestionar la operación del SGSI
·
Gestionar los recursos del SGSI
·
Implementar procedimientos y otros controles que permitan una
detección temprana de eventos de seguridad y una respuesta ante
cualquier incidente de seguridad
1.3.3.3. Supervisión y revisión del SGSI
·
Ejecutar procedimientos de supervisión y revisión
·
Realizar revisiones periódicas de la eficacia del SGSI
·
Medir la eficacia de los controles para verificar si se han cumplido los
requisitos de seguridad
·
Revisar las evaluaciones de riesgos en intervalos planificados y
revisar los riesgos residuales y los niveles de riesgo aceptables que
han sido identificados
·
Realizar las auditorías internas del SGSI
·
Actualizar los planes de seguridad teniendo en cuenta las
conclusiones de las actividades de supervisión y revisión
·
Registrar las acciones e incidencias que pudieran afectar a la eficacia
o al funcionamiento del SGSI
30
1.3.3.4. Mantenimiento y mejora del SGSI
Para mantener el SGSI planteado se deben aplicar medidas correctivas y
preventivas adecuadas para un mejoramiento del SGSI, comunicando las acciones
a tomarse, en caso de que existan, a las partes interesadas con un nivel de detalle
específico para dichas futuras modificaciones.
1.3.4. REQUISITOS DE LA DOCUMENTACIÓN
1.3.4.1. Control de documentos
Los documentos exigidos por el SGSI deben estar protegidos y controlados.
Se debe establecer un procedimiento documentado para definir las acciones
de gestión necesarias para: revisar, actualizar y volver a aprobar los documentos
según sea necesario, asegurar que están identificados los cambios en los mismos,
asegurar que los documentos están disponibles para todo aquel que los necesita,
asegurar que la distribución de los documentos está controlada, entre otras
acciones.
1.3.4.2. Control de registros
Se deben crear y mantener registros para proporcionar evidencias de la
conformidad con los requisitos y del funcionamiento eficaz del SGSI. Dichos
registros deben estar protegidos y controlados. Los registros deben permanecer
legibles, fácilmente identificables y recuperables, además de conservarse todos los
registros relativos al desarrollo del SGSI y de todos los sucesos relacionados a la
seguridad de la información que se presenten.
1.3.5. RESPONSABILIDAD DE LA DIRECCIÓN
La responsabilidad de la Dirección abarca los siguientes aspectos:
·
Compromiso de la Dirección: para suministrar evidencias de su
compromiso para crear, implementar, operar, supervisar, mantener y
mejorar el SGSI, mediante la formulación de políticas, establecimiento
de roles y responsabilidades relacionadas a la seguridad de la
31
información, y comunicando la importancia de cumplir con los
objetivos y políticas de seguridad del SGSI.
·
Gestión de los recursos: determinando y proporcionando los recursos
necesarios para crear, implementar, operar, supervisar, mantener y
mejorar el SGSI, mantener la seguridad adecuada mediante la
aplicación de los controles establecidos.
Además se debe asegurar que cada persona de la dirección está
encargada de una función de acuerdo a las responsabilidades
establecidas.
1.3.6. AUDITORÍAS INTERNAS DEL SGSI
La organización debe realizar auditorías internas del SGSI en periodos
determinados, para un buen funcionamiento del SGSI.
Las auditorías se deben planificar tomando en cuenta el estado e
importancia de los procesos y áreas a auditar, y garantizando que los auditores no
auditan su propio trabajo.
Las responsabilidades y requisitos para la planificación, realización de
auditorías, información de resultados y mantenimiento de registros deben estar
definidas en un procedimiento documentado.
1.3.7. REVISIÓN DEL SGSI POR LA DIRECCIÓN
La Organización debe revisar el SGSI en intervalos de tiempo planificados
(al menos una vez al año) para asegurar que se mantiene su conveniencia,
adecuación y eficacia, los resultados de las revisiones deben estar debidamente
documentados.
En los resultados de la revisión se deben incluir decisiones y acciones sobre:
mejora de la eficacia del SGSI, actualización de la evaluación de riesgos,
modificación de procedimientos y controles que afectan a la seguridad de la
información, necesidades de recursos.
1.3.8. MEJORA DEL SGSI
32
1.3.8.1. Mejora continua
La organización debe mejorar de manera continua la eficacia del SGSI, esto
se hace con el uso de políticas, objetivos de seguridad de la información, resultados
de las auditorías, análisis de la monitorización de eventos, acciones correctivas y
preventivas y de las revisiones realizadas.
1.3.8.2. Acción correctiva
Si se presentan no conformidades con la estructura del SGSI, la
organización
debe realizar acciones correctivas, a fin de evitar que vuelvan a
producirse dichas no conformidades. Los procedimientos para tomar acciones
correctivas deben quedar debidamente documentados.
1.3.8.3. Acción preventiva
Se deben determinar las acciones necesarias para eliminar las causas de
las posibles no conformidades con la estructura del SGSI establecido, con la
finalidad de que estas se vuelvan a producir. Se deben priorizar las acciones
preventivas a aplicarse, dependiendo de los resultados de la evaluación de riesgos
en la seguridad de la información. Los procedimientos para tomar acciones
preventivas deben estar documentados.
1.4. DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC
27002:2009
1.4.1. INTRODUCCIÓN
La norma establece un punto de vista sobre lo que trata la seguridad de la
información, por qué es importante considerar la seguridad de la información como
un factor crítico dentro de una organización y orienta en la forma en la que se
pueden evaluar los riesgos en la seguridad de la información, para luego pasar a la
selección de los respectivos controles para dichos riesgos. De [6, p. vi] se toma: “La
seguridad de la información es la protección de la información contra una gran
variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar
33
el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades del
negocio”.
La Norma 27002 [6] establece que la seguridad de la información se logra
implementando una serie de controles apropiados, además de políticas, procesos,
procedimientos, estructuras organizacionales y funciones de hardware y software,
y que dichos controles deben ser establecidos, implementados, monitoreados,
revisados y mejorados con el fin de cumplir con los objetivos específicos de
seguridad y del negocio. Un control representa un medio para gestionar el riesgo,
incluyendo políticas, procedimientos, directrices, prácticas o estructuras de una
organización que pueden ser de naturaleza administrativa, técnica, de gestión o
legal.
Se debe proteger la información porque la misma, junto con los procesos,
sistemas y redes que la soportan, son activos importantes del negocio, y
generalmente se ven afectados por amenazas provenientes de diferentes fuentes
que incluyen espionaje, sabotaje, vandalismo, incendios, inundaciones, y más
comúnmente en la actualidad por códigos maliciosos y ataques de piratería o
denegación de servicio.
Otro problema que puede afectar la seguridad de la información es la
tendencia hacia la computación distribuida que debilita la eficacia del servicio de
control de acceso central. Existen tres principales fuentes de requisitos de la
seguridad:
1. La evaluación de los riesgos para la organización, con lo cual se
puede identificar las amenazas para los activos, se evalúan las
vulnerabilidades y la probabilidad de ocurrencia para estimar el
impacto potencial.
2. Requisitos legales, estatutarios, reglamentarios y contractuales que
debe cumplir la organización, socios, proveedores de servicios.
3. Conjunto particular de principios, objetivos y requisitos del negocio
para el procesamiento de la información, que la organización ha
desarrollado para apoyar sus operaciones.
Esto es una parte importante para la sección de Tratamiento del riesgo de la
Norma 27005 [2].
34
1.4.1.1. Evaluación de los riesgos de la seguridad
Los requisitos de la seguridad se identifican mediante una evaluación
metódica de los riesgos en la seguridad, y los resultados de esta evaluación ayudan
a guiar y determinar la acción adecuada para hacer la gestión del riesgo. Esta
evaluación de los riesgos se debe repetir periódicamente para tratar cambios que
puedan influir en los resultados de la evaluación de los riesgos.
1.4.1.2. Selección de controles
La selección de controles es el siguiente paso después de las decisiones
para tratamiento de los riesgos en la seguridad de la información, de modo que los
controles garanticen la reducción de los riesgos encontrados hasta un nivel
aceptable.
Los controles se pueden seleccionar de esta norma, de otro grupo de
controles, o se pueden diseñar controles nuevos de acuerdo a las necesidades de
la organización, y la selección de los mismos debe ir de acuerdo a los criterios de
aceptación, tratamiento y enfoque para la gestión general del riesgo aplicado en la
organización.
De todos los controles descritos en la norma, algunos se consideran
principios guía para la gestión de la seguridad de la información, estos controles se
basan en requisitos legales esenciales o se consideran una práctica común para la
seguridad de la información. Los controles considerados esenciales para una
organización se describen a continuación, indicando la sección de la norma donde
se tratan los mismos:
a) Protección de datos y privacidad de la información personal (sección
15.1.4)
b) Protección de los registros de una organización (sección 15.1.3)
c) Derechos de propiedad intelectual (sección 15.1.2)
Los controles que se consideran una práctica común para la seguridad de la
información son los siguientes:
a) Documento de la política de la seguridad de la información (sección
5.1.1)
b) Asignación de responsabilidades para la seguridad de la información
(sección 6.1.3)
35
c) Educación, formación y concienciación sobre la seguridad de la
información (sección 8.2.2)
d) Procesamiento correcto en las aplicaciones (sección 12.2)
e) Gestión de la vulnerabilidad técnica (sección 12.6)
f) Gestión de la continuidad del negocio (sección 14)
g) Gestión de los incidentes de la seguridad de la información y las
mejoras (sección 13.2)
Se debe recalcar que, aunque todos los controles descritos en la norma son
importantes, no todos se aplicarán, porque depende de los riesgos específicos de
la organización, por lo que necesariamente se debe realizar la evaluación de los
riesgos.
1.4.1.3. Factores críticos para el éxito
Entre los factores más importantes que permiten una exitosa implementación
de la seguridad de la información de una organización están:
a) Políticas, objetivos y actividades de la seguridad de la información que
reflejen los objetivos del negocio.
b) Una buena comprensión de los requisitos de la seguridad de la
información, una evaluación de riesgos y la gestión del riesgo.
c) Distribución de guías sobre la política y las normas de la seguridad de
la información entre todos los directores, empleados y otras partes.
d) Provisión de fondos para actividades de gestión de la seguridad de la
información.
1.4.1.4. Desarrollo de directrices propias
La norma NTE INEN-ISO/IEC 27002 se puede considerar como un punto de
partida para el desarrollo de directrices específicas para una organización
considerando que no todos los controles y directrices en esta norma se pueden
aplicar en una organización específica, y también se pueden requerir de controles
y directrices adicionales a los contenidos en la norma. Una directriz se define como
una descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar
los objetivos establecidos en las políticas.
36
1.4.2. OBJETIVO
Esta norma establece directrices y principios generales para iniciar,
implementar, mantener y mejorar que gestión de la seguridad de la información en
una organización. Los objetivos de control y los controles de esta norma están
destinados a ser implementados para satisfacer los requisitos identificados por una
evaluación de riesgos.
1.4.3. ESTRUCTURA DE LA NORMA
Esta norma tiene 11 secciones o categorías sobre controles de la seguridad
de la información, que en total contiene 39 controles de la seguridad:
a) Política de la seguridad
b) Organización de la seguridad de la información
c) Gestión de activos
d) Seguridad de los recursos humanos
e) Seguridad física y del entorno
f) Gestión de operaciones y comunicaciones
g) Control del acceso
h) Adquisición, desarrollo y mantenimiento de sistemas de información
i) Gestión de los incidentes de la seguridad de la información
j) Gestión de la continuidad del negocio
k) Cumplimiento
1.4.4. EVALUACIÓN Y TRATAMIENTO DEL RIESGO
1.4.4.1. Evaluación de los riesgos de la seguridad
Con la evaluación de riesgos se debe identificar, cuantificar y priorizar los
riesgos de acuerdo a los criterios de aceptación del riesgo y los objetivos de la
organización, y de acuerdo a esto determinar la acción de gestión de los riesgos de
la seguridad de la información, para luego implementar los controles que se
seleccionen. Además, se debe considerar que la evaluación de los riesgos se debe
hacer periódicamente para que se vayan incluyendo los cambios en los requisitos
de la seguridad y en la situación de riesgo. La evaluación de los riesgos de la
seguridad de la información debería tener un alcance definido, y que puede abarcar
37
toda la organización, partes de ella, un sistema individual de información,
componentes específicos del sistema o servicio.
1.4.4.2. Tratamiento de los riesgos de la seguridad
Para iniciar con el tratamiento del riesgo, la organización debe previamente
haber definido los criterios de aceptación del riesgo.
De acuerdo a la evaluación de los riesgos ya identificados se puede aplicar
una de las 4 posibles opciones para su tratamiento, las mismas que también son
descritas en la sección de tratamiento del riesgo de la Norma 27005 [2], las cuales
son:
a) Aplicación de los controles apropiados para reducir los riesgos
b) Aceptación objetiva y con conocimiento de los riesgos, siempre y
cuando satisfagan la política de la organización y sus criterios para la
aceptación del riesgo.
c) Prevención de los riesgos al no permitir acciones que pudieran hacer
que éstos se presentaran.
d) Transferencia de riesgos asociados a otras partes (aseguradores o
proveedores).
Si se decide tratar el riesgo aplicando un control apropiado, dicho control se
debe seleccionar considerando que se satisfagan los requisitos dados por la
evaluación del riesgo y que reduzcan el riesgo en la seguridad de la información
hasta un nivel aceptable, para lo que se deben considerar los siguientes elementos:
a) Requisitos y restricciones de la legislación y de las regulaciones
nacionales e internacionales
b) Objetivos de la organización
c) Requisitos y restricciones operativos
d) Costo de la implementación y la operación con relación a la reducción
de los riesgos, y que se mantenga la proporción con los requisitos y
restricciones de la organización.
e) Necesidad de equilibrar la inversión en la implementación y operación
de los controles frente a la probabilidad del daño que resultaría debido
a las fallas de la seguridad.
38
Los controles de seguridad de la información se deben especificar en la fase
de diseño de sistemas y proyectos, evitando así que se generen costos adicionales
en soluciones que no actúan eficazmente.
Una descripción más detallada de los controles existentes en la Dirección
Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT), así como de los
controles recomendados que no están siendo aplicados, se encontrará en capítulos
posteriores.
1.5. ANÁLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012
1.5.1. INTRODUCCIÓN
Esta norma brinda pautas para la Gestión de Riesgos en la Seguridad de la
Información, dando soporte particular a los requisitos de un sistema de gestión de
la seguridad de la información (SGSI).
Sin embargo esta norma no brinda ninguna metodología específica para la
gestión del riesgo en la seguridad de la información, sino que dependerá de lo que
la organización necesite para minimizar los riesgos en la seguridad de la
información.
1.5.2. OBJETIVO
En esta norma se plantean las directrices para la gestión de riesgos en la
seguridad de la información, y se relaciona estrechamente con los conceptos
generales presentados en la Norma 27001 [5] ya que brinda un soporte a estos
conceptos, y busca que se haga una implementación satisfactoria de la seguridad
de la información con base en el enfoque de la gestión del riesgo.
Esta norma es aplicable a cualquier tipo de organización (empresas
comerciales, entidades del gobierno, etc.), e incluso a solo una parte de la
organización, que quieran gestionar los riesgos que puedan comprometer su
información.
1.5.3. REFERENCIAS NORMATIVAS
Las normas que se consideran indispensables para la aplicación de la Norma
27005 [2] son:
39
·
NTE INEN-ISO/IEC 27001:2011 - Tecnología de la información.
Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información (SGSI). Requisitos.
·
NTE INEN-ISO/IEC 27002:2009 - Tecnología de la información.
Técnicas de seguridad. Código de práctica para la gestión de la
seguridad de la información.
1.5.4. ESTRUCTURA DE LA NORMA
Esta norma describe los procesos para la gestión del riesgo en la seguridad
de la información y las actividades a realizar. Todas las actividades para la gestión
del riesgo en la seguridad de la información se detallan en varias secciones más
adelante, pero se listan las mismas a continuación.
·
Establecimiento del contexto
·
Valoración del riesgo
·
Tratamiento del riesgo
·
Aceptación del riesgo
·
Comunicación del riesgo
·
Monitoreo y revisión del riesgo
Esta norma contiene anexos que presentan información adicional para las
actividades de la gestión del riesgo en la seguridad de la información:
·
Anexo A: Definición del alcance y los límites del proceso de gestión
del riesgo de la seguridad de la información
·
Anexo B: Identificación y valoración de los activos y valoración del
impacto
·
Anexo C: Ejemplos de amenazas comunes
·
Anexo D: Vulnerabilidades y métodos para la valoración de la
vulnerabilidad
·
Anexo E: Enfoques para la valoración de riesgos en la seguridad de
la información
·
Anexo F: Restricciones para la reducción de riesgos
La norma tiene la siguiente estructura: entrada, acciones, guía de
implementación y salida.
40
1.5.5. INFORMACIÓN GENERAL
Esta norma brinda soporte a los conceptos generales presentes en las
Normas 27001 [5] y 27002 [6], específicamente constituye una ampliación de la
sección 4.2.1 de la Norma 27001 [5] (Establecer el SGSI).La Norma 27005 [2] en
general, busca que la gestión de riesgos en la seguridad de la información se
considere como la “piedra angular” para un SGSI eficaz, donde se identifiquen las
necesidades de la organización con respecto a los requisitos de la seguridad de la
información.
La gestión del riesgo en la seguridad de la información debería ser un
proceso continuo que establezca el contexto, evalúe los riesgos, trate los riesgos
utilizando un plan de tratamiento. La gestión del riesgo analiza lo que puede
suceder y cuáles son las posibles consecuencias, antes de decidir lo que se debería
hacer y cuándo hacerlo, para reducir el riesgo hasta un nivel aceptable.
El proceso de gestión del riesgo de la seguridad de la información se puede
aplicar a la organización en su totalidad, a una parte separada de la organización
(un departamento, una ubicación física, un servicio), a cualquier sistema de
información o a aspectos particulares del control. En el caso de este proyecto, la
norma es aplicada para la gestión del riesgo en la seguridad de la información de
la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT) de
la SUPERTEL.
1.5.6. VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO DE LA
SEGURIDAD DE LA INFORMACIÓN
El proceso de gestión del riesgo en la seguridad de la información consta de:
establecimiento del contexto, valoración del riesgo, tratamiento del riesgo,
aceptación del riesgo, comunicación del riesgo y monitoreo y revisión del riesgo.
Las actividades de valoración del riesgo y tratamiento del riesgo pueden ser
iterativas, para conseguir un equilibrio entre la reducción de tiempo y el esfuerzo
que se requiere para identificar los controles, y que los riesgos altos se valoren de
manera correcta, este proceso se muestra en la Figura 1.14.
En primer lugar se establece el contexto, luego se hace la valoración del
riesgo, que de proporcionar información suficiente, permitirá determinar de manera
41
eficaz las acciones que deben tomarse para modificar los riesgos hasta un nivel
aceptable, si no es así, se llevará a cabo otra iteración de la valoración del riesgo
que reconsidere los criterios de evaluación del riesgo, los criterios de aceptación
del riesgo o los criterios de impacto, (en la Figura 1.14 ver el punto 1 – decisión
sobre el riesgo: valoración satisfactoria).
Figura 1.14. Proceso de gestión del riesgo de la seguridad de la información [2, p.
5]
42
El tratamiento del riesgo será eficaz si es que la valoración del riesgo fue
satisfactoria; aquí también se realizan iteraciones, ya que es posible que el
tratamiento del riesgo no produzca inmediatamente una reducción del mismo hasta
un riesgo residual, y tengan que volver a considerarse los criterios de valoración,
aceptación e impacto del riesgo (en la Figura 1.14 ver el punto 2- decisión sobre el
riesgo: tratamiento satisfactorio).
La actividad de aceptación del riesgo es de mucha importancia ya que se
debe asegurar que los riesgos residuales son aceptados explícitamente por los
directores de la organización, porque de esto depende que los controles propuestos
se omitan o se pospongan, por ejemplo, debido al costo. Durante todo el proceso
de gestión del riesgo de la seguridad de la información también es importante que
se comunique a los directores y al personal operativo correspondiente sobre los
riesgos y su tratamiento. Si se toma conciencia de los riesgos, la naturaleza de los
controles establecidos para mitigar los riesgos y las áreas de interés para la
organización, se facilitará el tratamiento de los incidentes y los eventos inesperados
de una manera eficaz.
La Norma 27001 [5] especifica que los controles que se plantean dentro del
alcance, límites y contexto del SGSI se deben basar en el riesgo, por lo que un
proceso que haga la gestión del riesgo en la seguridad de la información puede
satisfacer este requisito. La Norma 27001 [5] plantea 4 fases para el proceso del
SGSI, estas fases en relación a las actividades de gestión del riesgo de la seguridad
de la información, que se muestran en la Tabla 1.1.
Este proyecto trabaja con la fase de “planificar” porque llega hasta el
planteamiento del tratamiento de los riesgos por medio de los controles adecuados.
La actividad de aceptación del riesgo se ejecutará una vez que lo realizado en este
proyecto se presente a la Dirección Nacional de Desarrollo Tecnológico en
Telecomunicaciones (DTT).
1.5.7. ESTABLECIMIENTO DEL CONTEXTO
1.5.7.1. Consideraciones generales
Para establecer el contexto para la gestión del riesgo de la seguridad de la
información, se deben tener en cuenta lo siguiente:
43
·
Criterios básicos necesarios para la gestión del riesgo de la seguridad
de la información
·
Definir el alcance y los límites
·
Establecer una organización adecuada que opere la gestión del
riesgo de la seguridad de la información
Tabla 1.1. Alineamiento del SGSI y el proceso de Gestión del Riesgo de la
Seguridad de la Información [2, p. 6]
Proceso de SGSI
Proceso
de gestión
del riesgo de la seguridad de la
información
Planificar
Establecer el contexto
Valoración del riesgo
Planificación del tratamiento del riesgo
Aceptación del riesgo
Hacer
Implementación del plan de tratamiento del riesgo
Verificar
Monitoreo y revisión continua del riesgo
Actuar
Mantener y mejorar el proceso de gestión del riesgo de la seguridad de
la información
El propósito que se tenga para la gestión del riesgo de la seguridad de la
información afecta al proceso total, y en particular, al establecimiento del contexto.
De los varios propósitos que puede tener la gestión de riesgos en la seguridad de
la información, se considera que para la Dirección Nacional de Desarrollo
Tecnológico en Telecomunicaciones estos propósitos son:
·
Preparar un plan para la debida continuidad del negocio, porque con
la minimización de riesgos en la seguridad de la información se
optimizará la disponibilidad de la información que se requiere para los
procesos que realiza la DTT, mejorando su eficiencia.
·
Preparar un plan de respuesta a incidentes, el cual permita que las
acciones que se tomen en caso de presentarse incidentes hayan sido
en lo posible consideradas, analizadas y establecidas en una guía.
·
Descripción de los requisitos de seguridad de la información para un
producto, un servicio o un mecanismo dentro de la organización.
44
1.5.7.2. Criterios básicos
Al revisar el alcance y los objetivos de la gestión del riesgo en la seguridad
de la información se podrá desarrollar el enfoque para la gestión de riesgo,
considerando que se pueden abordar ciertos criterios básicos como: criterios de
evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo, etc.
La recolección de información acerca de cómo se manejan procedimientos
dentro de la DTT es la que permitirá que se definan los criterios básicos que serán
necesarios para evaluar los riesgos, con lo cual se podrán plantear los controles
dependiendo de cada riesgo.
1.5.7.3. Criterios de evaluación del riesgo
Se deben desarrollar estos criterios con el fin de determinar el riesgo en la
seguridad de la información de la organización, teniendo en cuenta los siguientes
aspectos:
·
La criticidad de los activos de información involucrados, ya que se
hará un análisis de los servicios a cargo de la DTT para determinar
cuáles son sus riegos considerando su criticidad
·
La importancia de la disponibilidad, confidencialidad e integridad para
las operaciones y el negocio, porque son servicios de seguridad que
toda institución debe tener
1.5.7.4. Criterios de impacto
Estos criterios son los que permiten visualizar qué tan grave puede llegar a
ser un riesgo dependiendo del grado de daño o del costo para la organización.
1.5.7.5. Criterios de aceptación del riesgo
Por lo general estos criterios dependen de las políticas, metas, objetivos de
la organización y de las partes interesadas. La organización debería especificar sus
propias escalas para los niveles de aceptación del riesgo, considerando los
siguientes aspectos:
·
Definir umbrales múltiples para la aceptación del riesgo, y con
disposiciones para que los riesgos que se acepten por encima de
estos umbrales sean aceptados por la dirección; esto debe hacerse
45
porque cada servicio en la DTT no presentará los mismos riesgos que
otro
·
Los diferentes criterios de aceptación se aplican a las diferentes
clases de riesgos, dependiendo del valor obtenido para cada riesgo
después de la evaluación de los mismos
·
Incluir requisitos para un tratamiento adicional del riesgo en el futuro,
por ejemplo, se puede aceptar un riesgo si se plantean acciones que
reduzcan hasta un nivel aceptable dicho riesgo en un periodo de
tiempo definido
1.5.7.6. Alcance y límites
Se debería recolectar información acerca de la organización para determinar
el ambiente en el que se desenvuelve, y establecer la pertinencia de la información
en el proceso de gestión de riesgo en la seguridad de la información.
Para establecer el alcance se analizarán cada uno de los activos con los que
cuenta la DTT mediante la evaluación del riesgo, lo que permitirá plantear los
controles necesarios para la minimización de dichos riesgos hasta un nivel
aceptable, pero se debe mencionar que la implementación del sistema queda fuera
del alcance de este proyecto y se realizará cuando la Dirección Nacional de
Desarrollo Tecnológico en Telecomunicaciones lo crea pertinente.
Al definir el alcance y los límites, la organización debería considerar lo
siguiente:
·
Las funciones y estructura de la organización, tomando en cuenta lo
que está estrictamente relacionado a la DTT, que es la Dirección a la
cual está dirigido el proyecto
·
La política de seguridad de la información de la organización, que en
el caso de esta Dirección no se tienen especificadas en su totalidad.
·
Los diferentes tipos de activos de la DTT
·
Restricciones que afectan a la organización
Se debe analizar el anexo A: Definición del alcance y los límites del proceso
de gestión del riesgo de la seguridad de la información, de esta norma porque se
encuentra información sobre cómo hacer un estudio de la organización y sus
posibles restricciones.
46
1.5.7.7. Organización para la gestión del riesgo de la seguridad de la información
La forma en la que se vaya a realizar la gestión del riesgo en la seguridad
de la información debe tener un orden que cumpla con:
·
Desarrollar un proceso de gestión del riesgo de la seguridad de la
información adecuado para la organización, que será en diseño que
se plantea como objetivo de este proyecto
·
Identificar y analizar las partes interesadas, que para este proyecto es
la DTT
·
Especificar los registros que se deben conservar, conforme a los
controles que se planteen para esta actividad
1.5.8. VALORACIÓN
DEL
RIESGO
DE
LA
SEGURIDAD
DE
LA
INFORMACIÓN
Serán necesarios tener los objetivos y el alcance pertinente para realizar la
valoración del riesgo en la seguridad de la información.
Cada uno de los riesgos en la seguridad de la información se debe identificar
para poder describirlos cuantitativamente o cualitativamente, y estos riesgos serán
tratados como una combinación de consecuencias o impactos, para después
priorizar los riesgos. La valoración del riesgo consta de las siguientes actividades:
·
Análisis del riesgo, el cual consta de la identificación del riesgo y
estimación del riesgo
·
Evaluación del riesgo
En el proceso de valoración del riesgo se identifican las amenazas existentes
y vulnerabilidades, se identifican los controles existentes, las consecuencias
potenciales y como resultado se prioriza el riesgo y se clasifica de acuerdo con los
criterios de la evaluación del riesgo determinados en el contexto establecido.
La valoración del riesgo se puede llevar a cabo en dos o más iteraciones.
Para este proyecto no se podrá determinar si será necesario realizar más de una
iteración debido a que no se llega a la implementación del diseño de Gestión de
Riesgos en la Seguridad de la Información.
1.5.8.1. Análisis del Riesgo
47
1.5.8.1.1. Identificación del riesgo
Con la identificación del riesgo se pueden llegar a determinar las causas de
una pérdida potencial de información, teniendo en cuenta el funcionamiento de los
servicios en la DTT, incluyendo la responsabilidad del personal.
Identificación de los activos
Se realiza considerando la lista de los activos indicando el funcionario que
está a cargo de los mismos, ubicación y sus funciones, esto para poder determinar
los alcances para la valoración del riesgo. Los activos que forman parte del sistema
de información constan de más elementos que solo hardware o software, por
ejemplo el factor humano, y toda la información acerca de estos activos debe ser
específica y bien detallada para una buena valoración del riesgo. El propietario de
un activo tiene la responsabilidad y rendición de cuentas del mismo, pero esto no
significa que tenga derechos de propiedad sobre éste, pero sí tiene la
responsabilidad de la producción, desarrollo, mantenimiento, uso y seguridad,
según corresponda.
Como salida se tendrá la documentación de los activos que serán sometidos
a la gestión del riesgo.
Identificación de las amenazas
Mediante la información sobre las amenazas de los activos analizados, así
como también de la revisión de usuarios y revisión de incidentes, se pueden
identificar las amenazas y sus orígenes. Las amenazas pueden ser de origen
natural o humano, accidentales o deliberadas y se pueden encontrar dentro o fuera
de la organización.
Se analizan todas las amenazas de acuerdo a su importancia y nivel de
gravedad.
Las amenazas pueden ser identificadas por los mismos funcionarios
encargados de cada uno de los activos, personal de recursos humanos,
administradores de las instalaciones, expertos en seguridad física, así como
también otras organizaciones que incluyen organismos legales.
Toda la información recopilada o que hace años se adquirió, será útil para
hacer una nueva valoración y tener una mayor cantidad de argumentos. Lo que se
48
quiere dar es un cuadro con las diferentes amenazas que tenga la organización o
que se tuvieron en algún momento, analizarlas y dar los criterios respectivos para
formar este cuadro.
Se dará como resultado un listado de amenazas con la identificación del tipo
y el origen de la amenaza.
Identificación de los controles existentes
En esta sección se deben identificar los controles existentes y planificados,
para lo que se debe recurrir a la documentación de los controles y planes para la
implementación del tratamiento del riesgo.
Con esto se evitan trabajo o costos innecesarios, por ejemplo, en duplicación
de los controles. Mientras se identifican estos controles, se puede ir verificando que
funcionan correctamente; si un control no funciona como se espera, puede causar
vulnerabilidades. Para el actual funcionamiento de la DTT, no se ha realizado una
documentación de controles existentes o planes para el tratamiento del riesgo en
la seguridad de la información.
El efecto de un control se puede ver en la manera en la que reduce la
probabilidad de ocurrencia de la amenaza y la facilidad de explotar la vulnerabilidad,
o el impacto del incidente. Un control existente se puede identificar como ineficaz,
insuficiente o injustificado. Si es insuficiente o injustificado se debe revisar el control
para determinar si se debe eliminar, reemplazar por otro más adecuado o si debe
permanecer.
En el caso de la DTT no se pueden determinar controles ineficaces,
insuficientes o injustificados porque solamente se cuenta con lineamientos de
seguridad mas no con controles como están definidos en la Norma 27002 [6]. Para
determinar los controles existentes o planificados se puede:
·
Revisar documentos con información sobre los controles, que
actualmente no existen en la DTT.
·
Verificar con las personas encargadas de la seguridad de la
información (por ejemplo, el funcionario a cargo de la seguridad de la
información) y los usuarios, para ver qué controles están realmente
implementados. Esta recopilación de información se hará por medio
de los funcionarios a cargo de los servicios de la DTT.
49
·
Efectuar una revisión en el sitio de los controles físicos, comparando
los controles implementados con la lista de controles que deberían
estar implementados, y verificando que aquellos implementados
funcionen correctamente y de manera eficaz.
Para la DTT no se podrán determinar estos controles por lo explicado
anteriormente.
Se obtendrá una lista de todos los controles existentes y planificados, su
estado de implementación y utilización; en el caso de la DTT no se obtendrán
necesariamente controles, sino lineamientos de seguridad.
Identificación de las vulnerabilidades
Mediante una lista de amenazas conocidas, lista de los activos y los
controles existentes, se deberían identificar las vulnerabilidades que pueden ser
explotadas por las amenazas para causar daños a los activos o a la organización.
Para el caso de la DTT, las vulnerabilidades serán identificadas mediante la
recopilación de la información de los activos con los que cuenta la Dirección. Se
pueden identificar vulnerabilidades en las siguientes áreas:
·
Organización
·
Procesos y procedimientos
·
Personal
·
Ambiente físico
·
Configuración del sistema de información
·
Hardware, software o equipos de comunicaciones
·
Dependencia de partes externas
Una vulnerabilidad que no tiene una amenaza que la explote, puede que no
requiera la implementación un control para la misma, pero si debe ser reconocida
y monitoreada para determinar si existe algún cambio.
Identificación de las consecuencias
Como resultado de los pasos anteriores, se obtuvieron listas de las
amenazas y vulnerabilidades con respecto a los activos. Por lo cual, en este punto
se deben identificar las consecuencias que se tendrán en caso de perder
confidencialidad, integridad y disponibilidad de los activos. Con esta actividad se
50
identifican los daños o consecuencias que se tendrían en la organización a causa
de un escenario del incidente. Se define en la norma el escenario de incidente
como: “la descripción de una amenaza que explota una vulnerabilidad o un conjunto
de vulnerabilidades en un incidente de seguridad de la información”.
Este impacto del incidente se determina considerando los criterios del
impacto que se definieron en el establecimiento del contexto, y que puede afectar
a uno o más activos o a una parte de un activo. En la Norma 27001 [5], el que se
presente un escenario del incidente se conoce como “fallas de la seguridad”. Las
organizaciones pueden identificar las consecuencias en función de:
·
Tiempo de investigación y reparación
·
Pérdida de tiempo (trabajo)
·
Salud y seguridad
·
Costo financiero de las habilidades específicas para reparar el daño
·
Imagen, reputación y buen nombre
Al final se obtendrá una lista con los escenarios del incidente y las
consecuencias relacionadas con los activos y los procesos del negocio.
1.5.8.1.2. Estimación del riesgo
Metodologías para la estimación del riesgo
Una buena estimación del riesgo dependerá de la criticidad de los activos,
amplitud de las vulnerabilidades conocidas y los incidentes anteriores que
implicaron a la organización. Esta metodología puede ser cualitativa o cuantitativa
o una mezcla de las dos, dependiendo de las circunstancias analizadas. En la
práctica generalmente se usa la estimación cualitativa, esto para obtener una
indicación general del nivel del riesgo y revelar los riesgos más importantes. Pero
no se puede dejar de lado el análisis del riesgo cuantitativo, éste se lo usará para
un análisis más específico. Preferentemente se realiza un análisis cualitativo ya que
es menos costoso que un cuantitativo. Este análisis debe ser consistente con todos
los criterios de evaluación del riesgo. Se detallan la estimación cualitativa y
cuantitativa:
a) Estimación Cualitativa: utiliza una escala de atributos calificativos
para descubrir la magnitud de las consecuencias potenciales (alta,
51
media y baja) y la probabilidad de que ocurran dichas consecuencias.
Una ventaja de la estimación cualitativa es su facilidad de
comprensión por parte de todo el personal pertinente, mientras que
una desventaja es que la escala con la que se evalúa es bastante
subjetiva.
Estas escalas se pueden adaptar o ajustar para satisfacer las
circunstancias y se pueden utilizar descripciones diferentes para
riesgos diferentes. La estimación cualitativa se puede utilizar:
o Como una actividad de evaluación inicial para identificar los
riesgos que requieren un análisis más detallado
o Cuando este tipo de análisis es adecuado para tomar decisiones
b) Estimación Cuantitativa: utiliza una escala con valores numéricos,
tanto para las consecuencias como para la probabilidad, utilizando
datos provenientes de varias fuentes. La calidad del análisis depende
de lo completo y exacto que sean los valores numéricos, y de la
validez de los modelos utilizados.
En la mayoría de los casos, la estimación cuantitativa utiliza datos
históricos sobre incidentes, dando como ventaja que ésta pueda
relacionarse directamente con los objetivos de seguridad de la
información y los intereses de la organización. Una desventaja es la
falta de tales datos sobre riesgos nuevos o debilidades en la
seguridad de la información.
El enfoque cuantitativo se puede presentar cuando no se
dispone de datos basados en hechos que se puedan auditar, creando
así una ilusión del valor y la exactitud de la valoración del riesgo.
La forma en la cual se expresan las consecuencias y la
probabilidad, y las formas en las cuales se combinan para proveer el
nivel de riesgo, varían de acuerdo con el tipo de riesgo, y el propósito
para el cual se va a utilizar la salida de la valoración del riesgo. La
incertidumbre y la variabilidad tanto de las consecuencias como de la
probabilidad deberían ser consideradas en el análisis y comunicarse
de manera eficaz. Una metodología cuantitativa no es adecuada para
la realidad de la DTT, porque no se cuenta con información de datos
52
históricos sobre riesgos que se hayan presentado en la Dirección,
siendo más adecuada una metodología cualitativa.
Valoración de las consecuencias
Mediante una lista de todos los escenarios involucrados en el análisis, que
incluyan la identificación de las amenazas, las vulnerabilidades, los activos
afectados, las consecuencias para los activos y los procesos del negocio, se puede
determinar cuál será el impacto para la organización de los posibles incidentes,
analizando las consecuencias de la seguridad de la información. El valor del
impacto del negocio se puede expresar de manera cualitativa y cuantitativa, pero
cualquier método para asignar valor monetario, en general, puede suministrar más
información para la toma de decisiones y, por tanto, facilitar un proceso más
eficiente de toma de decisiones. El escenario puede afectar a más de un incidente
y esto afectar a más de un activo, por tal razón, la valoración de los activos es muy
importante dentro de la valoración del impacto. Las amenazas que se tengan
pueden ser muy riesgosas, por ejemplo, se puede perder la confidencialidad,
integridad o disponibilidad. Se obtendrá como resultado una lista de las
consecuencias evaluadas de un incidente enfocado a los activos.
Valoración de los incidentes
Por medio de la identificación de las amenazas, los activos afectados, las
vulnerabilidades explotadas, las consecuencias para los activos y la lista de
controles existentes y planificados, se debe evaluar la probabilidad de los
escenarios de cada incidente, que para el caso de la DTT se hará usando una
metodología cualitativa.
Se debe considerar la frecuencia con la que ocurren las amenazas y la
facilidad con la que las vulnerabilidades pueden ser explotadas, considerando:
·
La experiencia que determinará la probabilidad de la amenaza
·
Si es una fuente de amenaza deliberada, así como qué tan
vulnerables resulten los activos para un posible atacante
·
Si es una fuente de amenaza accidental, considerar por ejemplo
factores
geográficos,
condiciones
funcionamiento del equipo, etc.
climáticas
extremas,
mal
53
·
Vulnerabilidades
·
Controles existentes y qué tan eficaces son para reducir
vulnerabilidades, para la DTT se considerarán los lineamientos de
seguridad que esta Dirección plantea
Dependiendo de la necesidad de exactitud, los activos se pueden agrupar o
dividir en sus elementos, por ejemplo, un activo puede tener elementos en hardware
y en software, y relacionar los escenarios con dichos elementos.
Como resultado se tendrá la probabilidad de los escenarios del incidente de
forma cualitativa.
Nivel de estimación del riesgo
Con la lista de consecuencias relacionadas a los activos y procesos del
negocio, y su probabilidad (cualitativa en caso de la DTT) se procede a estimar el
nivel de riesgo. La estimación del riesgo asigna valores a la probabilidad y
consecuencias de un riesgo, valoradas cualitativamente; se puede considerar el
beneficio de los costos, los intereses de las partes involucradas, etc. El riesgo
estimado es la combinación de la probabilidad de un escenario de incidente y sus
consecuencias. De este paso se obtiene una lista de los riesgos con niveles de
valor asignado.
1.5.8.2. Evaluación del riesgo
Con la lista de los riesgos con valores asignados y criterios para su
evaluación, se puede hacer la comparación de los niveles del riesgo frente a sus
criterios para evaluación y sus criterios de aceptación.
Para la evaluación del riesgo, se deben comparar los riesgos estimados con
los criterios de evaluación del riesgo que definidos en el Establecimiento del
contexto (sección 1.5.7 de [2]); las decisiones que se tomen se basarán en los
criterios de aceptación del riesgo. La agrupación de múltiples riesgos bajos o
medios puede resultar en un riesgo global mucho más alto, y será necesario tratarlo
según corresponda. Se debe considerar:
·
Si un criterio no es pertinente, entonces los riesgos que impacten a
ese criterio pueden no ser pertinentes
54
·
Si un proceso tiene importancia baja, los riesgos asociados a éste se
considerarán más bajos que los riesgos que impacten actividades
más importantes
Las decisiones que se tomen para realizar acciones futuras sobre los riesgos
deben considerar:
·
Si se debería realizar una actividad
·
La prioridad en el tratamiento del riesgo considerando sus valores
estimados
Al final se tendrá una lista de los riesgos con prioridad de acuerdo a los
criterios de evaluación del riesgo.
1.5.9. TRATAMIENTO
DEL RIESGO
DE
LA SEGURIDAD
DE
LA
INFORMACIÓN
Una vez que se tenga una lista de riesgos con su prioridad de acuerdo a los
criterios de evaluación del riesgo, se deben seleccionar los controles que permitan
reducir, retener, evitar o transferir los riesgos y definir un plan para el tratamiento
de los mismos.
Algunos controles pueden tratar eficazmente más de un riesgo, como por
ejemplo la toma de conciencia sobre la seguridad de la información. Es conveniente
definir un plan para el tratamiento del riesgo que identifique con claridad la prioridad
con la que se deben implementar los tratamientos individuales. Si se considera la
eliminación de controles redundantes o necesarios, es conveniente tener en cuenta
la seguridad de la información y los factores de costo. Algunos controles pueden
tener influencia entre sí, para esos casos la eliminación de los controles
redundantes podría reducir la seguridad global establecida.
Una vez que se ha definido un plan para el tratamiento de los riesgos en la
seguridad de la información, se deben determinar los riesgos residuales, lo que
implica una actualización o iteración de la Valoración del riesgo de la seguridad de
la información (sección 1.5.8 de esta norma); si el riesgo residual aún no satisface
los criterios de aceptación del riesgo, se debería realizar otra iteración del
tratamiento del riesgo antes de pasar a la aceptación del riesgo; para este proyecto
se determinó que no se llegarán a realizar iteraciones.
55
Para realizar el tratamiento de riesgos en la seguridad de la información, se
tienen cuatro opciones disponibles, representadas en la Figura 1.15, a continuación
se describen estas opciones:
1.5.9.1. Reducción del riesgo
La reducción del riesgo se logra mediante la eficaz aplicación de los
controles que lleven el riesgo residual a niveles aceptables, teniendo en cuenta los
aspectos técnicos, ambientales y culturales, el costo y el tiempo invertido en la
selección y mantenimiento de los mismos.
Aplicando controles se tiene los siguientes tipos de protección: corrección,
eliminación,
prevención,
minimización
del
impacto,
disuasión,
detección,
recuperación, monitoreo y toma de conciencia; una vez aplicados los controles se
debe tomar en cuenta el retorno de la inversión en términos de la reducción del
riesgo y el potencial para explorar nuevas oportunidades.
Para la aplicación de los controles se deben tomar en cuenta ciertas
restricciones, como:
·
Restricciones de tiempo
·
Restricciones financieras
·
Restricciones técnicas
·
Restricciones operativas
·
Restricciones culturales
·
Restricciones éticas
·
Restricciones ambientales
·
Restricciones legales
·
Facilidad de uso
·
Restricciones de personal
·
Restricciones para la integración de controles nuevos y existentes
Para el Capítulo 3 de este proyecto, en donde se realizará el tratamiento de
los riesgos en la seguridad de la información presentes en la DTT, se tomarán en
cuenta las restricciones que se puedan presentar para plantear los controles
necesarios.
56
1.5.9.2. Retención del riesgo
Dependiendo de la evaluación del riesgo, se puede tomar la decisión sobre
la retención de riesgo. Si el nivel del riesgo satisface los niveles para su aceptación,
no es necesario implementar controles adicionales y el riesgo se puede retener.
1.5.9.3. Evitación del riesgo
Para la evitación de un riesgo en particular, se deben evadir las actividades
o acciones que den origen al mismo, principalmente en los casos en los que el
riesgo se considera muy alto o los costos para implementar otras opciones de
tratamiento del riesgo exceden los beneficios.
Figura 1.15. Actividad para el tratamiento del riesgo [2, p. 19]
1.5.9.4. Transferencia del riesgo
Dependiendo de la evaluación del riesgo, se pueden transferir los mismos a
otra parte que pueda gestionarlos de manera más eficaz, para lo cual previamente
se debe considerar que los riesgos pueden ser compartidos con partes externas, y
57
además en el proceso de transferencia se pueden crear riesgos nuevos o modificar
los riesgos existes, por lo cual puede ser necesario un tratamiento adicional para
los mismos.
Se puede realizar la transferencia del riesgo, en el caso de que un servicio
de la DTT pase a formar parte de otra Dirección, en este caso, el manejo de la
gestión del riesgo para ese servicio será transferido con sus controles y
recomendaciones para minimizar el riesgo.
1.5.10. ACEPTACIÓN
DEL
RIESGO
DE
LA
SEGURIDAD
DE
LA
INFORMACIÓN
Contando con el plan para el tratamiento del riesgo en la seguridad de la
información, sujetos a la aceptación de los directores de la organización, se debe
tomar la decisión de aceptar los riesgos y las responsabilidades de la decisión, y
registrarla de manera formal.
Los planes para el tratamiento del riesgo deben describir la forma en que los
riesgos valorados se deben tratar, con el fin de cumplir con los criterios de
aceptación del riesgo. Se pueden presentar casos en los que se acepten riesgos
que no satisfacen los criterios de aceptación normales, por lo que, quienes toman
la decisión deben comentar explícitamente los riesgos y la justificación para la
decisión de hacer caso omiso a los criterios de aceptación normales.
Debido a que la aceptación del riesgo la hace el Director o las autoridades
pertinentes en la DTT, este proyecto llegará solamente al planteamiento de los
controles para los riesgos que puedan presentarse, y es responsabilidad de la
Dirección su aceptación e implementación.
1.5.11. COMUNICACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA
INFORMACIÓN
La comunicación del riesgo es una actividad que busca lograr un acuerdo
sobre la manera en la que se gestionan los riesgos en la seguridad de la
información; la comunicación eficaz entre las parte involucradas es importante
porque puede tener un impacto significativo en las decisiones que se deben tomar,
además de asegurar que los responsables de la implementación de la gestión de
58
los riesgos comprenden las bases sobre las cuales se toman las decisiones y el por
qué se requieren acciones particulares, la comunicación es bidireccional.
Al contar con toda la información sobre los riesgos, obtenida de las
actividades de gestión del riesgo, se debe proceder a intercambiar y/o compartir
dicha información entre las personas encargadas de tomar la decisión y las partes
involucradas. La comunicación del riesgo se debería realizar con el fin de:
·
Proporcionar seguridad del resultado de la gestión del riesgo
·
Recolectar información del riesgo
·
Compartir los resultados de la valoración del riesgo y presentar el plan
para el tratamiento de los mismos
·
Brindar soporte para la toma de decisiones
·
Obtener conocimientos nuevos sobre la seguridad de la información
·
Coordinar con otras partes y planificar las respuestas para reducir las
consecuencias de cualquier incidente
·
Dar a quienes toman las decisiones y a las partes involucradas un
sentido de responsabilidad acerca de los riesgos
·
Mejorar la toma de conciencia
La comunicación de los riesgos en la seguridad de la información, así como
de su tratamiento, se realizará una vez que este proyecto llegue a su fase de
tratamiento del riesgo en el Capítulo 3. Finalmente se busca lograr una
comprensión continua del proceso y resultados de la gestión del riesgo de la
seguridad de la información de la organización.
1.5.12. MONITOREO Y REVISIÓN DEL RIESGO DE LA SEGURIDAD DE LA
INFORMACIÓN
1.5.12.1. Monitoreo y revisión de los factores del riesgo
Una vez realizadas todas las actividades de la gestión del riesgo antes
descritas, se pasará al monitoreo de los riesgos en la seguridad de la información.
Los riesgos y sus factores (amenazas, vulnerabilidades, probabilidad de ocurrencia
o consecuencias) pueden cambiar sin ninguna indicación, por lo que se deben
monitorear constantemente para detectar estos cambios. Se debe garantizar el
monitoreo continuo de los siguientes aspectos:
59
·
Activos nuevos que se han incluido en el alcance de la gestión del
riesgo
·
Nuevas amenazas que podrían estar activas tanto fuera como dentro
de la organización y que no se han valorado
·
Probabilidad de que nuevas vulnerabilidades o vulnerabilidades
existentes aumenten y que permitan que las amenazas exploten
·
El incremento en el impacto o las consecuencias de las amenazas
evaluadas, las vulnerabilidades y riesgos en conjunto que dan como
resultado un nivel inaceptable de riesgo
·
Incidentes de la seguridad de la información
Las nuevas amenazas, vulnerabilidades o cambios en la probabilidad
pueden incrementar el valor de riesgos inicialmente bajos; si los riesgos no están
en la categoría de riesgo aceptable o bajo, se deben tratar mediante una de las
opciones descritas en la sección Tratamiento del riesgo (sección 1.5.9) de esta
norma [2].
1.5.12.2. Monitoreo, revisión y mejora de la gestión del riesgo
Las actividades de monitoreo del riesgo se deben repetir con regularidad y
las opciones seleccionadas para el tratamiento del riesgo se deben revisar
periódicamente.
Con esto se conseguirá una alineación continua de la gestión de los riesgos
en la seguridad de la información con los objetivos del negocio de la organización
y con los criterios de aceptación del riesgo. Todas las mejoras acordadas o las
acciones necesarias para mejorar, se deberían notificar a los directores
correspondientes.
La organización debe verificar regularmente que los criterios utilizados para
medir el riesgo y sus elementos aún son válidos y consistentes con los objetivos,
estrategias y políticas del negocio, y que los cambios en el contexto se toman en
cuenta durante el proceso de gestión del riesgo de la seguridad de la información.
Para llegar a la fase de monitoreo de los riesgos en la DTT, se debe haber
cumplido con la aceptación del riesgo, pero para el caso de este proyecto
solamente se llegará al planteamiento del tratamiento de los riesgos, por lo que
dependerá de la Dirección su aceptación y posterior monitoreo.
60
1.6. COMPARACIÓN DE LA NORMA NTE INEN-ISO/IEC
27005:2012 CON OTRAS NORMAS
1.6.1. PUBLICACIÓN ESPECIAL DEL NIST 800-160 (BORRADOR PÚBLICO
INICIAL), INGENIERÍA DE SISTEMAS DE SEGURIDAD, UN
ENFOQUE INTEGRADO A LA CONSTRUCCIÓN DE SISTEMAS DE
CONFIANZA RESISTENTES, DE MAYO 2014.
Esta publicación especial del NIST es una iniciativa para definir procesos de
ingeniería para sistemas de seguridad que tomen acciones necesarias para
desarrollar infraestructuras de tecnología de la información (TI) que sean más
defensivas y supervivientes. Se basa en un conjunto de normas internacionales
bien establecidas, de organismos internacionales como ISO, IEC, IEEE, que
conducen a técnicas, métodos y prácticas de ingeniería de sistemas de seguridad.
El objetivo de esta publicación es resolver los problemas de seguridad que
surjan de las necesidades de seguridad y protección de los usuarios, y que se
establezcan procesos organizacionales que aseguren que estos requerimientos se
traten durante el ciclo de vida del sistema. Dentro de esta publicación se describe
lo que trata la ingeniería de sistemas de seguridad, mostrado en la Figura 1.16.
Se puede observar que uno de los procesos en el ciclo de vida de la
ingeniería en sistemas de seguridad es la Administración de Riesgos en la
Seguridad de la información; pero las actividades relacionadas a los procesos de
ingeniería de sistemas de seguridad son solo una parte de lo que constituye la
gestión de riesgos. En lo referente a gestión del riesgo en la seguridad de la
información, trabaja sobre temas como:
·
Evaluaciones de las pérdidas de activos
·
Evaluación de amenazas
·
Evaluación de vulnerabilidades
·
Evaluación de riesgos
·
Priorización y tolerancia de riesgos
·
Tratamiento y respuesta a riesgos
61
Se puede describir la Gestión del Riesgo como una actividad integral que se
lleva a cabo para toda la empresa, y que conduce al riesgo desde el nivel
estratégico hasta el nivel táctico, para asegurar que la toma de decisiones basada
en el riesgo sea eficaz y esté integrada en todos los aspectos del ciclo de vida del
sistema. Según esta publicación, la respuesta a un riesgo de seguridad identificado
implica la necesidad de tomar cualquiera de las siguientes acciones de tratamiento
de riesgos:
·
Evitar el riesgo
·
Aceptación del riesgo
·
Mitigación de riesgos
·
Compartir / transferir el riesgo
Figura 1.16. Principales contribuciones de la Ingeniería de Sistemas de Seguridad
[7, p. 7]
La publicación hace una descripción de un conjunto de procesos para la
ingeniería de sistemas de seguridad, alineados con el Estándar Internacional
ISO/IEC 15288 (Sistemas y la ingeniería de software - Procesos del ciclo de vida
del sistema); estos conjuntos de procesos son:
62
·
Proceso de análisis de los requisitos, donde se transforman los
requerimientos desde el punto de vista del servicio deseado en una
vista técnica de un producto requerido que pueda entregar esos
servicios.
·
Proceso de diseño arquitectónico, cuyo objetivo es sintetizar una
solución que satisfaga los requisitos del sistema; identifica y explora
una o más estrategias de implementación a un nivel de detalle
coherente con los requisitos y riesgos técnicos y comerciales del
sistema.
·
Proceso de implementación, en donde se obtiene un elemento del
sistema especificado, este proceso transforma el comportamiento
específico, las interfaces y las limitaciones de aplicación en acciones
de fabricación que crean un elemento del sistema de acuerdo con las
prácticas de la tecnología de aplicación seleccionada.
·
Proceso de integración, con el propósito de armar un sistema
consistente con el diseño arquitectónico; este proceso combina los
elementos del sistema para formar configuraciones completas o
parciales del sistema con el fin de crear un producto especificado en
los requisitos del sistema.
·
Proceso de verificación, que busca confirmar que los requisitos de
diseño especificados se cumplen por el sistema, este proceso
proporciona
la
información
necesaria
para
corregir
las
no
conformidades en el sistema realizado o los procesos que actúan
sobre ella.
·
Proceso de transición, que establece la capacidad para proporcionar
los servicios especificados por los requisitos de las partes interesadas
en el entorno operacional, este proceso se utiliza en cada nivel en la
estructura del sistema y en cada etapa para completar los criterios
establecidos para salir de la etapa.
·
Proceso de operación, con el objetivo de utilizar el sistema para
brindar sus servicios; se asigna el personal para operar el sistema, y
supervisa los servicios y el rendimiento del operador del sistema.
63
·
Proceso de mantenimiento, con el propósito de mantener la
capacidad del sistema para proporcionar un servicio; este proceso
controla la capacidad del sistema para prestar servicios, registra
problemas para el análisis, toma acciones correctivas, adaptativas,
perfectivo y preventivas y confirma la capacidad restaurada.
·
Proceso de eliminación, con el objetivo de poner fin a la existencia de
una entidad del sistema; este proceso desactiva, desmonta, y elimina
el sistema y todos los productos de desecho, enviándolo a una
condición final y devolviendo el medio ambiente a su condición
original o aceptable.
Esta norma plantea cómo se debe desarrollar un sistema seguro desde su
fase inicial, mediante los procesos que se describen para la ingeniería de sistemas
de seguridad, y se diferencia de la Norma 27005 [2] porque esta norma permite ser
aplicada en cualquier momento que se considere necesaria la gestión del riesgo.
1.6.2. IEC 31010:2009 - TÉCNICAS DE EVALUACIÓN DE RIESGOS GESTIÓN DEL RIESGO
IEC 31010:2009 es una norma de soporte para la norma ISO 31000 y
proporciona orientación sobre la selección y la aplicación de técnicas sistemáticas
para la evaluación de riesgos. Es una Norma Internacional publicada el año 2009
(2009-12-01). Esta norma no está diseñada para la certificación, uso regulatorio o
contractual; este estándar es una recopilación de buenas prácticas en el ámbito de
selección y utilización de técnicas para la evaluación de riesgos. Este estándar
considera, al igual que la norma ISO 27005, que los riesgos deben ser tratados de
modo que sean reducidos hasta un nivel aceptable. Además, se explica que el
contenido del estándar es de naturaleza general, es decir, se puede usar como guía
en muchas industrias y tipos de sistemas. Se pueden utilizar estándares más
específicos con adecuadas metodologías y niveles de gestión de las aplicaciones
para cada industria, la evaluación del riesgo realizada de conformidad con esta
norma contribuye a otras actividades de gestión de riesgos. En [8, p. 7], disponible
en el sitio web oficial de la ISO, se puede observar una nota relacionada a esta
aclaración: “NOTA: Esta norma no se ocupa específicamente de la seguridad. Se
trata de una norma de gestión de riesgos genéricos y las referencias a la seguridad
64
son puramente de carácter informativo. Orientación sobre la introducción de los
aspectos de seguridad en las normas IEC se establece en la Guía ISO / IEC 51”.
En este punto es donde radica la diferencia con la norma ISO 27005, puesto que la
norma ISO 27005 trata específicamente los aspectos de seguridad de la
información, y aún más específico la gestión de riesgos en la seguridad de la
información. La estructura del estándar IEC/FDIS 31010:2009 se presenta a
continuación.
1.6.2.1. Conceptos de gestión de riesgos
1.6.2.1.1. Propósito y beneficios
El propósito de la evaluación de riesgos es proporcionar información basada
en la evidencia y el análisis para tomar decisiones sobre cómo tratar a los riesgos
particulares y seleccionar entre las opciones.
1.6.2.1.2. La evaluación de riesgos y el marco de gestión de riesgos
Un marco de gestión del riesgo que proporciona las políticas, los
procedimientos y las disposiciones organizativas que integran la gestión de riesgos
en toda la organización a todos los niveles. Como parte de este marco, la
organización debe tener una política o estrategia para decidir cuándo y cómo los
riesgos deben ser evaluados.
1.6.2.1.3. La evaluación de riesgos y el proceso de gestión de riesgos
La evaluación de riesgos no es una actividad aislada y debe estar
plenamente integrada en los otros componentes en el proceso de gestión de
riesgos. Este punto se divide en:
·
Comunicación y consulta
·
Establecimiento del contexto
·
Evaluación de riesgo
·
Tratamiento del riesgo
·
Monitoreo y revisión
65
1.6.2.2. Proceso de evaluación de riesgos
La evaluación de riesgos proporciona una base para las decisiones sobre el
enfoque más adecuado para ser utilizado en el tratamiento de los riesgos, este
punto se divide en:
·
Identificación de riesgos: es el proceso de encontrar, reconocer y
registrar riesgos.
·
Análisis de riesgos: consiste en determinar las consecuencias y las
probabilidades de los eventos de riesgo identificados, teniendo en
cuenta la presencia (o no) y la efectividad de los controles existentes;
las consecuencias y sus probabilidades se combinan entonces para
determinar un nivel de riesgo. En esta etapa se debe:
o Evaluar los controles
o Analizar las consecuencias
o Analizar y estimar la probabilidad
o Obtener un análisis preliminar
o Determinar incertidumbres y sensibilidades
·
Evaluación del riesgo: Se utiliza la comprensión del riesgo obtenida
durante el análisis de riesgos para tomar decisiones sobre acciones
futuras. Consideraciones éticas, legales, financieras y otros influyen
en la decisión.
·
Documentación: El proceso de evaluación de riesgos debe
documentarse junto con los resultados de la evaluación. Los riesgos
deben ser expresadas en términos comprensibles, y las unidades en
que se expresa el nivel de riesgo deben ser claras.
·
Seguimiento y revisión de la evaluación de riesgos: Se deben
identificar y recoger los datos que se deben supervisar para afinar la
evaluación del riesgo.
·
Aplicación de la evaluación de riesgos en las fases del ciclo de vida
de la información: La evaluación de riesgos se puede aplicar en todas
las etapas del ciclo de vida de la información y se aplica muchas veces
con diferentes niveles de detalle para ayudar en las decisiones que
se deben tomar en cada fase.
66
1.6.2.3. Selección de técnicas de evaluación de riesgos:
·
Selección de técnicas: La forma de evaluación y su resultado deben
ser coherentes con los criterios de riesgo desarrollados como parte
del establecimiento del contexto.
·
Disponibilidad de recursos: Se puede afectar por la experiencia del
equipo de evaluación del riesgo, restricciones de tiempo u otros
recursos, etc.
·
La naturaleza y el grado de incertidumbre: La incertidumbre también
puede ser inherente en el contexto externo e interno de la
organización. Los datos disponibles no siempre proporcionan una
base fiable para la predicción del futuro.
·
Complejidad: La comprensión de la complejidad de un riesgo simple
o de un conjunto de riesgos de una organización es fundamental para
la selección del método o técnica para la evaluación de riesgos
adecuada.
·
Aplicación de la evaluación de riesgos en las fases del ciclo de vida
de la información: Cuando hay varias opciones disponibles, la
evaluación de riesgos se puede utilizar para evaluar conceptos
alternativos para ayudar a decidir cuál ofrece el mejor equilibrio de
riesgos.
·
Tipos de técnicas de evaluación de riesgos: se pueden clasificar de
varias maneras para ayudar en la comprensión de sus fortalezas y
debilidades relativas. Este estándar cuenta con anexos que orientan
en su aplicabilidad para ciertas situaciones.
1.6.3. NORMAS RELACIONADAS AL ÁMBITO FINANCIERO
1.6.3.1. BASILEA II
Estándar internacional que sirve de referencia para los reguladores
bancarios, con objeto de establecer los requerimientos de capital necesarios para
asegurar la protección de las entidades frente a los riesgos financieros y operativos.
Tiene como objetivo propiciar la convergencia regulatoria hacia estándares más
67
avanzados sobre medición y gestión de los principales riesgos en la industria
bancaria [9].
1.6.3.2. PCI DSS
Impulsada por las principales marcas de tarjetas de pago, este estándar
busca garantizar la seguridad de los datos de titulares de tarjetas de pago en su
procesamiento, almacenamiento y transmisión. El PCI Security Standards Council
ofrece normas sólidas e integrales y materiales de apoyo para mejorar la seguridad
de los datos de tarjetas de pago.
La parte fundamental es el Estándar de Seguridad de Datos PCI (PCI DSS),
que proporciona un marco de acciones concretas para el desarrollo de un proceso
de seguridad de datos de tarjetas de pago robusta, incluyendo la prevención,
detección y reacción adecuada a los incidentes de seguridad de la información.
Para los proveedores de dispositivos y fabricantes, se planifica el uso de un número
de identificación personal (PIN) de terminales. Para ayudar a los proveedores de
software y otros a desarrollar aplicaciones de pago seguras, se planea mantener la
aplicación de pago Data Security Standard (PA-DSS) y una lista de aplicaciones de
pago validadas [10].
A continuación se muestra una tabla comparativa de las normas descritas
anteriormente con la Norma 27005 [2].
Tabla 1.2. Comparación de la NTE INEN-ISO/IEC 27005:2012 con otras normas
NTE INEN-ISO/IEC 27005:2012
NORMAS
Semejanzas
La respuesta a un riesgo de
seguridad identificado implica la
necesidad de tomar cualquiera de
las siguientes acciones de
NIST 800-160
tratamiento de riesgos:
·
Evitar el riesgo
·
Aceptación del riesgo
·
Mitigación de riesgos
·
Compartir / transferir el riesgo
Diferencias
Esta norma plantea cómo se debe
desarrollar un sistema seguro desde su
fase inicial, mediante los procesos que
se describen para la ingeniería de
sistemas de seguridad, diferenciándose
de la norma NTE INEN-ISO/IEC
27005:2012 porque ésta permite ser
aplicada en cualquier momento que se
considere necesaria la gestión del
riesgo.
68
NTE INEN-ISO/IEC 27005:2012
NORMAS
Semejanzas
Este estándar considera que los
riesgos deben ser tratados de modo
que sean reducidos hasta un nivel
aceptable.
El contenido de este estándar es de
naturaleza general, es decir, se
puede usar como guía en muchas
IEC 31010:2009
industrias y tipos de sistemas.
Se pueden utilizar otros estándares
más específicos con metodologías
adecuadas y niveles de gestión de
las aplicaciones para cada industria,
la evaluación del riesgo realizada
de conformidad con esta norma
contribuye a otras actividades de
gestión de riesgos.
Diferencias
“Esta norma no se ocupa
específicamente de la seguridad. Se
trata de una norma de gestión de
riesgos genéricos y las referencias a la
seguridad son puramente de carácter
informativo. Orientación sobre la
introducción de los aspectos de
seguridad en las normas IEC se
establece en la Guía ISO / IEC 51”.
La norma NTE INEN-ISO/IEC
27005:2012 trata específicamente los
aspectos de seguridad de la
información, y aún más específico la
gestión de riesgos en la seguridad de la
información. Es importante aclarar que
esta norma no es certificable en
comparación con la norma NTE INENISO/IEC 27001:2011.
Transferencia de información de los
clientes de forma segura, para cajeros
automáticos en la parte financiera.
Garantizar la seguridad de los datos de
Al igual que la norma NTE INEN-
titulares de tarjetas de pago en su
ISO/IEC 27005:2012, estas normas
procesamiento, almacenamiento y
financieras buscan restar riesgos en
transmisión
Otras Normas
la seguridad de la información, para
Financieras
lo cual se plantean diferentes
Para los proveedores de dispositivos y
métodos o reglas para minimizar los
fabricantes, se planifica el uso de un
riesgos que puedan presentarse en
número de identificación personal (PIN)
el ámbito financiero.
de terminales. Para ayudar a los
proveedores de software y otros a
desarrollar aplicaciones de pago
seguras, se planea mantener la
aplicación de pago Data Security
Standard (DSS).
69
2.CAPÍTULO 2
ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA
INFORMACIÓN EN LA DIRECCIÓN NACIONAL DE
DESARROLLO TECNOLÓGICO EN
TELECOMUNICACIONES (DTT)
2.1. INTRODUCCIÓN
Este capítulo está dividido en dos grandes temas, la primera es la
Descripción de la Infraestructura Tecnológica de la Dirección Nacional de Desarrollo
Tecnológico en Telecomunicaciones (DTT), donde se hace la recopilación de toda
la información perteneciente a la DTT, organizada de acuerdo a lo descrito en el
Anexo A: Definición del alcance y los límites del proceso de gestión del riesgo de la
seguridad de la información de la Norma 27005 [2], empleando las secciones A.1
Estudio de la organización, A.2 Listado de las restricciones que afectan a la
organización, A.3 Listado de las referencias legislativas y reglamentarias que se
aplican a la organización.
Con la información que se detalla en la primera parte del capítulo, se elabora
la segunda parte del mismo, que consiste en el Análisis de Riesgos en la Seguridad
de la Información de la Infraestructura Tecnológica de la DTT, el cual se hace en
base a las secciones 7.1 Consideraciones Generales, 7.2 Criterios básicos, 7.3
Alcance y límites y 7.4 Organización para la Gestión del Riesgo en la Seguridad de
la Información, de la sección 7: Establecimiento del contexto, de la Norma 27005
[2].
La parte final de este capítulo contiene la valoración de los riesgos en la
seguridad de la información de acuerdo a la sección 8: Valoración del riesgo en la
seguridad de la información de la Norma 27005 [2], con sus secciones 8.1
Descripción general de la valoración del riesgo en la seguridad de la información,
8.2 Análisis del riesgo y sección 8.3 Evaluación del riesgo. Con lo cual se podrá
plantear el tratamiento a los riesgos en la seguridad de la información, que es el
70
objetivo del capítulo 3. Las secciones de la Norma 27005 [2] utilizadas para el
desarrollo de este capítulo se describen en la Figura 2.1.
Figura 2.1. Secciones utilizadas de la Norma NTE INEN-ISO/IEC 27005:2012
71
2.2. DESCRIPCIÓN
DE
TECNOLÓGICA DE
DESARROLLO
LA
INFRAESTRUCTURA
LA DIRECCIÓN
NACIONAL DE
TECNOLÓGICO
EN
TELECOMUNICACIONES (DTT)
2.2.1. ESTUDIO DE LA ORGANIZACIÓN
2.2.1.1. Evaluar a la organización
La DTT trabaja en base a cuatro ejes fundamentales: soporte informático a
funcionarios, desarrollo de software para la Institución, infraestructura de la red y
gestión de proyectos; ya que esta dirección es un punto de contacto con todas las
direcciones.
Los diferentes ejes se describen a continuación:
·
Soporte informático a funcionarios: consiste en solucionar problemas
tanto de hardware como de software en las diferentes áreas de trabajo
de los funcionarios de la SUPERTEL.
·
Desarrollo de aplicaciones para la Institución: Su finalidad es crear
productos, para lo cual varios funcionarios de la DTT realizan el
desarrollo de software dependiendo de los proyectos planificados
previamente, que serán utilizados por las diferentes direcciones de la
SUPERTEL.
·
Infraestructura de la red: Administración, gestión, mantenimiento total de
la red (telefonía, seguridad perimetral y administración de equipos de
conectividad y de servidores), además de la administración de las
cuentas de usuarios.
·
Gestión de proyectos: es la parte táctica de la dirección, es decir el
manejo del plan de trabajo, donde se verifica el cumplimiento de los
proyectos de la DTT; además se maneja la parte presupuestaria
(presupuestos, proyectos asignados, elaboración de pliegos, elaboración
o terminación de contratos). La DTT gestiona los recursos que otras
direcciones necesiten para el cumplimiento de sus proyectos, mas no
72
ejecuta dichos proyectos. La Dirección Nacional de Planificación es la
encargada de verificar el cumplimiento de todas las metas.
Esta Dirección es el punto donde se concentra y se somete a automatización
la información de la red de la SUPERTEL, encargándose también del soporte
informático para los funcionarios de toda la Institución, y además se desarrollan y
administran varios aplicativos que intercambian información con empresas externas
y con dependencias internas de la SUPERTEL; es decir que la cobertura de los
servicios de DTT es transversal, envolviendo a toda función y gestión de la
institución que comprende desde los accesos del personal hasta la gestión de
información confidencial de las máximas autoridades.
2.2.1.2. Propósito principal de la organización
2.2.1.2.1. Su Negocio
Este elemento característico permite alcanzar las misiones de la DTT, esto
basándose en las técnicas y conocimientos de sus funcionarios, dentro de la
industria, leyes y normativas en el ámbito de las comunicaciones en el cual se
desenvuelve la SUPERTEL.
El negocio de la DTT está determinado por los diferentes procesos que debe
desempeñar esta dirección para cumplir con sus objetivos determinados en el
Estatuto Orgánico de Procesos y en el Plan Operativo Anual, por lo que se puede
decir que la primera parte del negocio de la DTT es hacer que se cumpla el ciclo de
vida de la información. El manejo de la información pasa necesariamente por esta
Dirección para su administración y bajo demanda de las direcciones que conforman
la SUPERTEL para que se realicen los procesos correspondientes, haciendo que
la seguridad de la información sea un aspecto importante a considerar en las
actividades que realiza la DTT.
Una siguiente parte del negocio de la DTT es cumplir con un proceso de
versionamiento de las aplicaciones que tiene a su cargo, lo que permite que la
Dirección controle las aplicaciones que están en producción (es decir, aplicaciones
que ya están en funcionamiento), tanto en su configuración, como el lugar donde
se almacena la información que generan; y relacionado con esta parte del negocio
también se tiene el proceso de puesta en producción de un sistema
73
(implementación de un nuevo sistema), para lo cual la DTT interviene en la provisión
de todos los recursos técnicos que necesite cualquier sistema que ésta u otras
direcciones de la SUPERTEL quiera poner en funcionamiento.
Finalmente el
negocio de la DTT también incluye brindar el soporte informático necesario para el
correcto desempeño de las funciones de la SUPERTEL.
2.2.1.2.2. Su Misión
La misión de la DTT es:
“Desarrollar servicios tecnológicos en telecomunicaciones para los clientes
externos y usuarios internos, implementar infraestructura tecnológica para la
operación de los procesos y gestionar los recursos y servicios tecnológicos en el
marco de los estándares de la industria, leyes y normativa” [11, p. 43].
2.2.1.2.3. Sus Valores
Los valores que se aplican en la dirección son los mismos definidos para
toda la SUPERTEL [12]:
·
“PROACTIVIDAD: Asumimos el pleno control de nuestro comportamiento
de modo dinámico e innovador, adelantándonos a la toma de iniciativas
en el desarrollo de acciones creativas y audaces para generar mejoras,
incluso sobre las circunstancias adversas”.
·
“EXCELENCIA: Buscamos satisfacer con los más altos estándares de
efectividad y calidad a todos los usuarios internos y externos, el éxito se
medirá en función de los resultados que se alcance”.
·
“INTEGRIDAD: Somos honestos y transparentes en nuestra actuación
pública y privada con sujeción a las normas morales y legales. Vivimos
la integridad en la forma en que tratamos a nuestros usuarios y
compañeros, y en las decisiones que tomamos día tras día”.
·
“COMPROMISO: Actuamos con lealtad y solidaridad, más allá de cumplir
con una obligación, aplicando nuestras capacidades para sacar adelante
todo aquello que se nos ha confiado”.
·
“RESPETO: Aceptamos tal y como son las personas, confiando que es
una habilidad esencial para vivir de manera satisfactoria y llena de
significado para desenvolvernos armónicamente en la sociedad,
74
valorando a los demás y a nosotros mismos, brindando un trato cordial y
amistoso”.
·
“LIDERAZGO: Creamos una visión capaz de guiar y hacer que nosotros
contribuyamos en la consecución de los resultados de la organización en
busca del bien común”.
2.2.1.2.4. Políticas generales
Las políticas descritas en [13, p. 2] son aplicables a toda la Institución:
·
“Estructurar y organizar la Superintendencia de Telecomunicaciones
sobre la base de los principios de la Calidad Total”.
·
“Reconocer al talento humano, estimular la creatividad individual y
colectiva, y promover un ambiente de cooperación en el trabajo”.
·
“Optimizar la utilización de los recursos económicos y materiales que
dispone este Organismo, respetando el ambiente”.
·
“Mantener niveles adecuados de comunicación e información al
interior y exterior del Organismo”.
2.2.1.2.5. Enfoque global de la DTT hacia la gestión del riesgo
La DTT sabe que la Gestión de Riesgos en la Seguridad de la Información
será una referencia para el mejor uso de los recursos con los que cuenta, entre
ellos de la información.
Además, se logrará que las personas creen conciencia de que se pueden
generar Riesgos en la Seguridad de la Información por más pequeño que sea el
proceso que la genera.
2.2.1.2.6. Expectativas de las partes interesadas
Se espera que el sistema desarrollado en este proyecto especifique
claramente los pasos a seguir para el tratamiento de los Riesgos en la Seguridad
de la Información.
Además, se desea que el tratamiento de los riesgos se haga de acuerdo a
las diferentes áreas funcionales de la Dirección Nacional de Desarrollo Tecnológico
en Telecomunicaciones, buscando minimizar los riesgos en la Seguridad de la
información de cada servicio.
75
2.2.1.2.7. Entorno socio-cultural
La DTT está formada por profesionales capacitados de tercer y cuarto nivel
académico, para cumplir satisfactoriamente las diferentes funciones de la Dirección,
y que comprenden que se debe establecer una cultura empresarial, en la que se le
da la importancia debida a la información como un activo del cual son directamente
responsables todos los miembros de la SUPERTEL.
2.2.1.2.8. Estructura de la Organización
La SUPERTEL está formada por: procesos estratégicos, procesos de
desarrollo
institucional
y
del
conocimiento,
procesos
técnicos
de
telecomunicaciones y por procesos desconcentrados. Dentro de procesos técnicos
de telecomunicaciones, se encuentran la Intendencia Nacional Técnica de Control
y la Intendencia Nacional Jurídica, y contenida dentro de la Intendencia Nacional
Técnica de Control se encuentra la Dirección Nacional de Desarrollo Tecnológico
en Telecomunicaciones, como se muestra en la Figura 2.2. La DTT funciona en el
Edificio Matriz de la SUPERTEL, ubicado en la Av. 9 de Octubre N27-75 y Berlín
(Edificio Olimpo), en la ciudad de Quito, mostrado en el mapa de la Figura 2.3.
Los procesos mencionados anteriormente son organizados por áreas
llamadas Direcciones, que desempeñan todas las funciones de control de las
telecomunicaciones. Cada Dirección cuenta con su respectivo director, que busca
el cumplimiento de las decisiones estratégicas, administrativas y operativas. La
Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT) está
estructurada en forma funcional, en donde se diferencian los siguientes niveles:
·
Nivel de toma de decisiones: representado por el Director Nacional de
Desarrollo Tecnológico en Telecomunicaciones
·
Nivel de liderazgo: representado por el Coordinador General de la
Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones
·
Nivel Operativo: los diferentes funcionarios de la DTT
La DTT internamente está estructurada funcionalmente porque trabaja en
base a cuatro ejes fundamentales: soporte informático a funcionarios, desarrollo de
software para la Institución, infraestructura de la red y gestión de proyectos.
76
Figura 2.2. Estructura Organizacional de la Superintendencia de
Telecomunicaciones
Figura 2.3. Ubicación geográfica de la SUPERTEL (DTT)
Con la finalidad de que se tenga seguridad de la información en el
desempeño de las diferentes funciones de la DTT, donde se implementen todos los
77
mecanismos de seguridad: confidencialidad, autenticación, control de acceso,
disponibilidad, integridad, verificación de la información, se define como
Administración en la DTT a las funciones que permiten organizar, proporcionar y
distribuir los servicios de acuerdo al área en la que estén asignados cada uno de
sus funcionarios. Dentro de la DTT se tienen administradores en diferentes áreas:
·
Administrador de red: es el encargado de monitorear la conectividad
entre el edificio matriz y las Intendencias y Delegaciones, y realizar
diferentes configuraciones en caso de ser necesarias.
·
Administrador de servidores: se encarga de la asignación de los
recursos de los servidores, tanto físicos como virtualizados, para las
diferentes necesidades.
·
Administrador de la plataforma DOMINO: es el encargado de la
aplicación Lotus Notes, que contiene otras aplicaciones como Correo
Interno, Sistema de Control Documental, Sistema de Help Desk y
Sistema de Viáticos, siendo indispensable para todos los funcionarios
de la SUPERTEL.
·
Administrador de bases de datos: se encarga de monitorear la
información que se encuentra en los servidores de bases de datos,
verificando el correcto almacenamiento de la misma.
·
Administrador de aplicación: es la persona encargada de administrar
el módulo de la aplicación que se ha desarrollado.
·
Administrador de licencias y soporte de programas: administra la
adquisición de nuevas licencias de software que se adquiera y su
mantenimiento.
2.2.1.2.9. Listado de las Restricciones que afectan a la DTT
Restricción de naturaleza estratégica
La DTT está obligada a cumplir con los objetivos estratégicos que se ha
planteado como Dirección, y que constan en el Plan Estratégico Anual de la
SUPERTEL, por lo que las actividades que se programen pueden producir
situaciones que generen Riesgos para la Seguridad de la Información, pero que
deben llevarse a cabo para un desempeño eficaz de la Institución.
78
Restricciones territoriales
La SUPERTEL tiene varias Intendencias y Delegaciones distribuidas por
todo en territorio nacional, que le permite llevar a cabo sus funciones de control de
telecomunicaciones; considerando que la DTT se encarga de la administración de
la red de la SUPERTEL y que todas las comunicaciones se centralizan en el Centro
de Cómputo del Edificio Matriz, por esto se busca que la red siempre esté activa y
que la comunicación con todas las delegaciones sea permanente.
Restricciones funcionales
Se mantienen enlaces permanentes con otras entidades del sector, tanto
públicas como privadas, que envían información constantemente para diferentes
servicios que están a cargo de la DTT, y esta conexión con empresas externas debe
siempre estar monitoreada. No se tiene establecido un procedimiento que defina la
documentación que debe generarse en el desarrollo de un sistema dentro de la
Dirección, lo que, en el caso de que un funcionario deje la Dirección, puede truncar
la continuidad de los procesos o proyectos, contando también con la falta de
capacitación para la consecución de objetivos.
Restricciones relacionadas con el personal
La DTT tiene algunos profesionales que trabajan bajo un contrato de máximo
2 años de duración, y que no puede ser renovado hasta después de que haya
transcurrido un año, por lo que se puede perder mucha información sobre los
servicios o responsabilidades si ésta no es correctamente documentada por los
funcionarios. En el procedimiento para el manejo de usuarios, cuando un
funcionario de la institución ingresa o sale de la misma, no se tiene definido el modo
en que la persona que sale de la institución debe entregar la información que generó
durante todo el tiempo que perteneció a la institución, por lo cual mucha información
se pierde y disminuye la eficiencia en las tareas. No se tienen definidas políticas ni
procedimientos para manejo de claves de usuario.
Restricciones de presupuesto
La DTT se rige a un presupuesto determinado para la Dirección y en general
al presupuesto que se designe para la SUPERTEL por parte del Estado, por lo que
79
este tipo de restricciones dependen de la aprobación de las autoridades hacia los
diferentes proyectos que plantee la DTT.
2.2.1.2.10. Listado de las referencias legislativas y reglamentarias que se aplican a la
organización
Al
ser
la
Telecomunicaciones
Dirección
parte
Nacional
de
importante
de
Desarrollo
la
Tecnológico
Superintendencia
en
de
Telecomunicaciones, se rige a las leyes relacionadas con el sector de la
Telecomunicaciones, además de las leyes del sector público, puesto que es una
entidad pública.
Trabaja de acuerdo a las siguientes leyes y reglamentos:
·
Constitución de la República
·
Ley Orgánica de Telecomunicaciones
Si bien se tienen reglamentos que definen qué información se considera de
dominio público, los mismos no han sido difundidos entre los funcionarios de la
SUPERTEL, lo cual podría generar un mal manejo de la información.
2.2.1.2.11. Políticas de seguridad de la Información
Las políticas de seguridad de la información se consideran a las reglas o
lineamientos que deben ser cumplidos en los diferentes aspectos de manejo de la
seguridad de la información. Una política tiene los siguientes componentes:
descripción de la política, implementación, sanción y además existe un responsable
de hacer cumplir la misma. La comunicación de las políticas relacionadas a las
tecnologías de la información es obligatorio para los funcionarios, servidores y
trabajadores de la SUPERTEL, así como pasantes, proveedores y en general toda
persona a quien le hayan sido asignada las siguientes herramientas:
·
Cuenta de correo electrónico institucional
·
Equipo informático
·
Autorización para el manejo de cualquier tipo de información
institucional de acceso público o confidencial
·
Permiso de uso del servicio de Internet en una estación de trabajo,
computador portátil, o dispositivo móvil institucional
80
·
Acceso a la red inalámbrica en su equipo de trabajo, dispositivo móvil
como Smartphones o Tablets, así como también a las personas
ajenas a la institución que hacen uso de la red inalámbrica
·
Certificado digital de firma electrónica emitido por el Banco Central del
Ecuador
Si bien se establecieron lineamientos de seguridad, que posteriormente
serán implementados en el funcionamiento de la institución, se considerarán los
relacionados a las herramientas descritas anteriormente para el análisis de los
controles en la seguridad de la información a aplicarse.
2.2.1.3. DESCRIPCIÓN DE LA INFRAESTRUCTURA DEL CENTRO DE
CÓMPUTO
2.2.1.3.1. Descripción del sistema arquitectónico del Centro de Cómputo
Al ser la DTT el punto de concentración de servicios brindados a las demás
direcciones de la SUPERTEL, se describen algunos sistemas con los que cuenta
el edificio matriz, que permite realizar las funciones, no solo de esta Dirección, sino
de todas las ubicadas en dicho edificio.
El Centro de Cómputo principal de la SUPERTEL se encuentra ubicado en
el 6to piso del edificio matriz, porque se determinó que era el lugar óptimo para la
distribución del cableado estructurado.
El Centro de Cómputo tiene un área de 24m2 aproximadamente, cuenta con
toda la señalética de seguridad, sistema contra incendios, sistema de aire
acondicionado, iluminación adecuada, y un área para los UPS de aproximadamente
7m2. En la Figura 2.4 se muestra el diagrama topológico del Centro de Cómputo.
2.2.1.3.2. Descripción del Sistema de Telecomunicaciones del Centro de Cómputo
Descripción de equipos de comunicaciones
En el Centro de Cómputo se cuenta con 8 racks en donde se encuentran
diferentes equipos de conectividad; a continuación se describirán los principales
equipos que conforman la red de la SUPERTEL de acuerdo a la Figura 2.5:
Figura 2.4. Plano Topológico del Centro de Cómputo en el Edificio Matriz SUPERTEL
81
82
2 Routers (Cisco 3800): Proporcionan la conexión hacia los switches de core
y la conexión con los firewalls, que a su vez se conectan con el proveedor de
servicios de Internet, en ambos routers se tiene enlaces redundantes. Además, se
conectan a estos equipos las demás Intendencias y Delegaciones de la SUPERTEL
por medio de enlaces WAN.
2 Switches de core: Se tienen dos Switches de Core, los dos se encuentran
activos y son redundantes entre ellos; éstos se encuentran conectados a los routers
y a los firewalls internos. Proporcionan conectividad para los equipos en la capa de
acceso, permitiéndoles acceder al servicio de Internet por medio de los routers, y a
la información almacenada en los servidores atravesando los firewalls internos.
4 Firewalls: Se tienen 2 firewalls internos (ASA Cisco 5580) conectados a los
servidores y 2 externos (Cisco 5520) conectados a los equipos proveedores de
Internet, ya que se tiene conexión redundante hacia el proveedor del servicio de
Internet .
La función de estos equipos, en el caso de los firewalls internos, es la
protección de los servidores, creando un filtro de seguridad que no atente con la
información recaudada en los mismos.
Los firewalls externos proveen la salida a Internet, además se tiene una
conexión hacia empresas externas que trabajan con la SUPERTEL para brindar
algún servicio.
1 Wireless LAN Controller – WLC: Administrar de forma centralizada todos
los Access Points en el edificio matriz, para proveer el servicio de red inalámbrica.
1 Web Security Appliance – WSA: Este equipo se encarga de filtrar el
contenido web que circula por la red de la SUPERTEL.
2 Email Security Appliance – ESA: Se encarga de filtrar los correos
electrónicos de diferentes dominios que son identificados como spam, por medio
de las actualizaciones que realiza automáticamente.
83
Figura 2.5. Topología de la red
Descripción de Servidores
Se manejan dos plataformas de hardware, representadas en la Figura 2.6,
la primera es la plataforma X86 que pertenece a la línea de servidores Intel; la
segunda es la plataforma Power para los procesadores RISC.
Cada plataforma tiene sus consolas de administración; todos los servidores
son virtualizados, no se tiene servicios o aplicaciones que trabajen sobre servidores
físicos, es decir que sobre estas plataformas se ha creado una capa virtual, para
los servidores Intel esta capa está sobre VMWare, y para la línea Power la capa
virtual se hace sobre PowerVM, entonces estos sistemas son los que permiten
virtualizar el hardware. A nivel de servidores, se trabaja con tres capas: una capa
de base de datos, donde se tienen servidores ORACLE, SQL y MySQL, todos
conectados a un repositorio, que es la parte de almacenamiento, ésta es la capa
que se encuentra y necesita ser la más segura, es decir es la capa más alta y la
84
tercera en exposición; la segunda capa es de aplicaciones, en donde se tienen los
sistemas que hacen transacciones, y la tercera capa es la capa web, en donde se
encuentra el servidores web mail, SMTP web mail, entre otros, que son sistemas
que salen hacia el cliente, además de la parte SMTP de Lotus.
·
Servidores Intel: para la administración de VMWare se tienen varias
consolas: una que funciona como administrador de VMWare, y otra
consola para la administración de los chasis, esta consola es a nivel
físico, además físicamente se trabaja con una tecnología Blade,
conformado por los Blade Center y los servidores Blade.
Adicionalmente se tiene una consola para la administración de la capa
de virtualización.
·
Servidores RISC: en la parte de PowerVM, se tienen equipos de
diferente tecnología de grandes tamaños, que son particionados y
que se manejan y administran mediante una consola HMC ( IBM
Hardware Management Console).
Adicionalmente se cuenta con varios servidores de aplicación, tanto en Linux
(APACHE y ORACLE AP. SERVER) como en Windows (Internet Information
Services - IIS); estos servidores son utilizados mayoritariamente para aplicaciones
web, estos servidores se encuentran virtualizados sobre las plataformas antes
mencionadas.
También se tiene racks para Storage, es decir se tienen equipos que tienen
una gran cantidad de almacenamiento en discos que permiten asignar porciones
de estos discos a los equipos de acuerdo a los requerimientos que se tengan
dependiendo de la plataforma; este equipo también dispone de una consola
DS5300 Cliente para administración.
2.2.1.3.3. Descripción del Cableado Estructurado
En cada piso del edificio matriz el cableado horizontal pasa a través de techo
falso, hasta conectarse al backbone de fibra óptica que llega a los switches de core
en el Centro de Cómputo. Se tienen switches de acceso de 48 puertos en cada piso
del edificio, a excepción del piso 6 en donde se tienen 2 switches de acceso, uno
de 48 y otro de 24 puertos.
85
Figura 2.6. Plataformas utilizadas en los servidores
En la Tabla 2.1 se detalla el número de puntos utilizados en cada piso del
edificio matriz de la SUPERTEL. Se tiene un promedio de 10 estaciones de trabajo
y dos impresoras en red por piso; se debe mencionar que cada funcionario cuenta
con un teléfono IP, por lo que los teléfonos IP se conectan en los puntos de red,
estos teléfonos IP tienen puertos de acceso que permiten conmutar el tráfico
perteneciente a la VLAN de voz y el tráfico de las diferentes VLAN de datos que se
dirige a la estación de trabajo.
2.2.1.3.4. Descripción del Sistema Eléctrico del Centro de Cómputo
De datos obtenidos del último levantamiento del sistema eléctrico, para
saber si la distribución a la salida de los UPS existentes, que respaldan a todos los
equipos del Centro de Cómputo, está dentro de los parámetros de operación
adecuados, se obtuvo la siguiente información. Dentro de todo el Centro de
Cómputo se utiliza energía regulada debido a la naturaleza de los equipos
conectados; se tienen dos UPS de 20 KVA cada uno. El cuarto de UPS tiene un
86
tablero principal (Tablero 1), el cual cuenta con una alimentación de 220 VAC, el
cual llega por una acometida trifásica a 5 hilos (3F + N+ T). A continuación se
muestra el diagrama físico del cuarto de UPS en la Figura 2.7.
Tabla 2.1. Número de puntos de datos utilizados en el Edificio matriz
Piso
Departamento
Número de
Switches
Puntos
1
48
Planta baja
1
45
Mezanine
1
43
Piso 1
1
48
Piso 2
1
48
Piso 3
1
48
Piso 4
1
47
Piso 5
1
48
Piso 6
2
48 y 19
Piso 7
1
48
Piso 8
1
29
Piso 9
1
23
TOTAL
13
542
financiero
2.2.1.3.5. Descripción del sistema de aire acondicionado
Se instaló un sistema de climatización que mantenga un ambiente adecuado
de temperatura en el Centro de Cómputo, debido a que en dicho lugar se
encuentran instalados UPS de 40 KVA y equipos de conectividad, los cuales
generan una alta carga calórica hacia el ambiente, la misma que puede causar
daños a los compontes electrónicos de los equipos si no es sustraída.
Se tienen instalados dos sistemas de enfriamiento a los dos extremos del
Centro de Cómputo,
y adicionalmente un sistema de aire acondicionado de
precisión instalado en el cuarto de UPS, que permite mantener una temperatura
adecuada para el mantenimiento de los mismos.
87
Figura 2.7. Cuarto de UPS
2.2.1.3.6. Descripción de los Sistemas de Apoyo para el Centro de Cómputo
Descripción del sistema contra incendios
Se cuenta con un sistema que tiene un tiempo de extinción corto (10
segundos) y que no cause daños a los equipos, por lo que se instaló un sistema de
extinción con agente limpio.
Descripción del sistema de control de acceso
Se cuenta con un sistema de acceso biométrico para el control de acceso al
Centro de Cómputo, además de la puerta de seguridad. El sistema de control de
acceso biométrico se encuentra ubicado junto a la puerta de seguridad del Centro
de Cómputo.
El lector biométrico cuenta con un lector de huella dactilar, reconocimiento
del protocolo TCP/IP, lenguaje múltiple, cerradura electromagnética. En cuanto a la
puerta de seguridad, permite restringir el acceso de personal no autorizado al
Centro de Cómputo, además de proteger los equipos.
88
2.3. DESCRIPCIÓN DE LA EVALUACIÓN DE GOBIERNO DE TI
PARA LA DIRECCIÓN NACIONAL DE DESARROLLO EN
TELECOMUNICACIONES (DTT)
Dentro del Macro-proyecto de Gobierno de TI que se desarrolla en la
SUPERTEL, se realizó una evaluación para determinar el nivel de aplicación de los
conceptos de Gobierno de TI basados en el marco de referencia de COBIT 5.
De esta evaluación se toma la información de las prácticas de operación y
gestión internas relacionadas con la interacción de la DTT con otras áreas.
Los resultados obtenidos en esta evaluación se describen a continuación:
·
Se considera que la DTT no está preparada para atender sus
requerimientos, porque no existe un claro entendimiento de las
necesidades, compromisos asumidos y el tiempo necesario para la
atención.
·
No se ha establecido un proceso claro y formal para la atención de
requerimientos, lo que muchas veces genera que la atención no sea
de manera integral, esto también se debe a que las áreas que solicitan
apoyo no tiene totalmente definidos los requerimientos, produciendo
que las soluciones dadas por la DTT sean incompletas y pierdan su
vigencia y utilidad.
·
En la actualidad la DTT carece de un área especializada en la
administración de proyectos tecnológicos, generando inconvenientes
en el tiempo, costo y alcance de las actividades requeridas en el
desarrollo de los mismos, e impidiendo la identificación y socialización
de los riesgos de los proyectos, que permitan tomar correctivos
necesarios.
·
Se presentan sugerencias que podrían mejorar el desempeño de la
DTT, especialmente en el área de soporte, desarrollo de aplicaciones,
asesoramiento técnico, tiempo de respuesta a requerimientos, y se
propone además que se disponga de una planificación clara de las
actividades que la institución va incursionar y que las necesidades de
las diferentes áreas sean priorizadas.
89
2.3.1. MODELO DE GOBIERNO DTT
Del informe sobre Gobierno de TI [14, pp. 113,114] se muestran los puntos
más importantes:
·
“Del análisis realizado, se evidencia que actualmente la SUPERTEL
y DTT carecen de un Sistema de Gestión de Seguridad de
Información definido ni implementado, que permita administrar los
riesgos de seguridad de información, para que éstos sean conocidos,
asumidos, gestionados y minimizados por parte de la SUPERTEL,
únicamente se dispone de equipamiento de seguridad perimetral que
protegen el acceso a los recursos de información, mas no se dispone
de procesos y procedimientos que conformen mencionado Sistema
de Gestión que permita a la Institución Administrar de mejor manera
la Seguridad de la Información, de manera paralela, en DTT se carece
de un área especializada que lleve esta Gestión, así como no existe
un área Institucional que lleve temas de Seguridad Corporativa”.
·
“La estructura organizacional actual de DTT no tiene establecidas de
manera formal los roles y funciones de cada persona integrante del
área, existiendo con ello una organización no adecuada, pues no
existe una segregación de funciones, existen servicios que no están
siendo administrados o se los hace no de una manera íntegra, todo
esto obedece a la no tenencia de procesos implementados de Gestión
de Servicios de TI y procesos de control que permitan verificar el
adecuado cumplimiento de estos”.
·
“En la actualidad, no existe una administración formal de los servicios
de TI que actualmente DTT dispone, se carece de procedimientos
implementados de monitoreo continuo de servicios, manejo de
eventos, administración de alarmas y actividades definidas de
operación de los mismos, este evento se da debido a que no se tiene
personal definido exclusivamente para la Administración y Operación
de los servicios, el cual este completamente capacitado y tenga
definidas sus funciones y sea responsable del normal funcionamiento
de los mismos, así como sea quien proponga planes de mejoras al
funcionamiento y operación de los servicios”.
90
2.4. ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA
INFORMACIÓN
EN
LA DIRECCIÓN
DESARROLLO
NACIONAL DE
TECNOLÓGICO
EN
TELECOMUNICACIONES
Se desea minimizar los riesgos que pueden presentarse en los recursos que
tiene la DTT, y una correcta administración y uso de los servicios prestados por la
misma, por medio de la Gestión de Riesgos en la Seguridad de la Información.
Como se mencionó en el capítulo 1, en el análisis de la Norma 27005 [2], el proceso
de Gestión de Riesgos en la Seguridad de la Información consta de las siguientes
etapas:
·
Establecimiento del contexto, en donde se encuentran los criterios
básicos para la gestión del riesgo, definición del alcance y límites del
sistema
·
Valoración del riesgo de la seguridad de la información (análisis,
estimación y evaluación del riesgo) para la DTT
·
Tratamiento del riesgo de la seguridad de la información (reducción,
retención, evitación y evaluación del riesgo)
·
Aceptación del riesgo de la seguridad de la información
·
Comunicación de los riesgos de la seguridad de la información
·
Monitoreo y revisión del riesgo de la seguridad de la información
Dentro de este capítulo se desarrollarán las dos primeras etapas de la
gestión de riesgos en la Seguridad de la Información, es decir el Establecimiento
del contexto y la Valoración del riesgo.
Para el caso de este proyecto solamente se llegará al planteamiento del
tratamiento de los riesgos, por lo que dependerá de la Dirección el cumplimiento de
las etapas de aceptación y posterior monitoreo de los riesgos en la seguridad de la
información.
2.4.1. ESTABLECIMIENTO DEL CONTEXTO
91
2.4.1.1. Criterios básicos
Para el establecimiento de los diversos criterios, necesarios para la
evaluación de los riesgos, se va a considerar la naturaleza de la información y de
los diferentes tipos de activos con los que trabaja la DTT.
Se analizarán todos los activos, previamente clasificados, utilizando un
enfoque cualitativo, y usando una matriz que se formará de combinar la
probabilidad de que ocurra una amenaza con la magnitud del daño de dicha
amenaza, para lo cual se asignará un valor numérico que permita obtener
resultados más aproximados a la realidad, además se utilizarán colores para
diferenciar dichos resultados de acuerdo a la gravedad del riesgo.
Previo a obtener la probabilidad de que ocurra una amenaza y la magnitud
del daño de dicha amenaza, se trabajará en base a criterios que permitan obtener
la clasificación necesaria antes de realizar la evaluación del riesgo. Los criterios
con los que se trabajará son los siguientes:
·
Criterios de clasificación de activos
·
Criterios de probabilidad de ocurrencia de las amenazas
·
Criterios de impacto
·
Criterios de evaluación del riesgo
·
Criterios de aceptación del riesgo
2.4.1.1.1. Criterios para la clasificación de activos
En primer lugar, se realizará una descripción de los activos con los que
cuenta la DTT, lo que permitirá determinar los procesos y flujos que sigue la
información, considerando todos los recursos implicados en cada proceso. Los
activos serán clasificados en: activos de información, activos físicos, activos de
software y activos de servicios.
2.4.1.1.2. Criterios de probabilidad de ocurrencia de las vulnerabilidades
Los criterios de probabilidad de ocurrencia de las vulnerabilidades, serán
analizados en base a qué tan probable es que se presente una vulnerabilidad para
que sea aprovechada por una amenaza. Su valoración se expone en la Tabla 2.2.
Se escogieron 4 niveles de probabilidad, porque se cree que con ese número de
niveles se tiene un rango suficiente de probabilidad para diferenciar un nivel de otro.
92
Tabla 2.2. Probabilidad de Ocurrencia de las vulnerabilidades
Valor
3
Grado de impacto
Poco probable
Probable
Muy Probable
Descripción
Vulnerabilidad cuya probabilidad de ocurrencia es del 1%-25%
Vulnerabilidad cuya probabilidad de ocurrencia es del 26%-50%
Vulnerabilidad cuya probabilidad de ocurrencia es del 51%-75%
4
Altamente Probable
Vulnerabilidad cuya probabilidad de ocurrencia es del 76%-100%
1
2
2.4.1.1.3. Criterios de impacto
Los criterios de impacto, dependiendo de las amenazas y vulnerabilidades
que se encuentren en los servicios brindados por la DTT, se consideran de acuerdo
a dos puntos de vista: el tiempo que el servicio se encuentra sin funcionamiento y
la pérdida de información que pueda producirse por la caída del servicio.
Se dará un valor cualitativo, de acuerdo a lo que se evidenció en la DTT
cuando se presentan problemas con los diferentes servicios, estableciendo escalas
de tiempo sin funcionamiento de un servicio y se asignará un valor numérico de 1
a 4, como se describen en la Tabla 2.3.
Tabla 2.3. Impacto de acuerdo al tiempo sin funcionamiento del servicio
Valor
Grado de impacto
1
Pequeño
2
Medio
3
Grave
4
Muy grave
Descripción
Tiempo de caída mínimo (2 - 5 min). El funcionario no percibe la
caída del servicio.
Tiempo de caída moderado (6 – 30 min). El funcionario percibe
la pérdida de servicio, pero no llama al responsable de la red.
Tiempo de caída del servicio alto (31 min -1 hora). El funcionario
hace un llamado al administrador de la red alertando del mal
funcionamiento del servicio.
Tiempo de caída muy grave (1 hora o más). El funcionario
reclama su pérdida de servicio.
Para el caso en que se produzca la caída de un servicio en un intervalo de
tiempo, se considera que se puede producir una pérdida de información, por lo que
se establecen 4 niveles de análisis para los rangos de pérdida de información que
pueden presentarse, mostrados en la Tabla 2.4
Tabla 2.4. Pérdida de información por caída del servicio
Valor Grado de impacto
Descripción
1
Pequeño
2
Medio
Caída de un servicio con una pérdida de información de los
servidores y bases de datos pequeña (del 0% al 20%)
Caída de un servicio con una pérdida de información de los
servidores y bases de datos mediana (del 20% al 40%)
93
3
Grave
4
Muy grave
Caída de un servicio con una pérdida de información de los
servidores y bases de datos grave (del 40% al 60%)
Caída de un servicio con una pérdida de información de los
servidores y bases de datos muy grave (del 60% al 80%)
Se considera que se llegará a una pérdida de información de hasta el 80%,
porque la SUPERTEL realiza un respaldo de cierta información de determinados
servicios en los equipos de la Intendencia Regional Sur en la ciudad de Cuenca, lo
que evita que se pierda totalmente la información.
2.4.1.1.4. Criterios de evaluación de riesgo
Se trabajará con el valor obtenido del producto entre la probabilidad de
ocurrencia de una amenaza por el valor de impacto debido al tiempo sin
funcionamiento del servicio y por la pérdida de información debido a la caída del
servicio. Se utilizan estos tres factores porque se cree que son los necesarios para
obtener un valor del riesgo aproximado a la realidad de la DTT, por lo tanto se
presenta la siguiente expresión para obtener el nivel de evaluación del riesgo.
Nivel de evaluación de Riesgo = Probabilidad de ocurrencia de una
amenaza * Tiempo sin funcionamiento del servicio * Pérdida de
información por caída del servicio
De acuerdo a las diferentes combinaciones de los factores de la expresión
anterior, se plantean los rangos cualitativos para la evaluación del riesgo, mostrado
en la Tabla 2.5.
Para mostrar de forma detallada las combinaciones utilizadas se elaboró la
Tabla 2.6 donde se obtienen los valores de nivel del riesgo.
Además se elabora un diagrama que representa cómo se utilizaron los
diferentes criterios básicos para obtener los valores de nivel del riesgo, mostrado
en la Figura 2.8.
Tabla 2.5. Nivel de evaluación del Riesgo
VALOR
NIVEL
DESCRIPCIÓN
1 –4
Bajo
Se considera riesgo bajo a los servicios cuya información no se ve
afectada, el tiempo sin funcionamiento del servicio es el menor posible
y tiene pocas probabilidades de ocurrencia de una amenaza.
94
6 – 12
Moderado
16 – 27
Alto
32 – 64
Muy Alto
Se considera riesgo moderado a los servicios cuya información se ve
medianamente afectada, con poco tiempo sin funcionamiento del
servicio y con ciertas probabilidades de ocurrencia de amenaza.
Se considera riesgo alto a los servicios cuya información tiene un alto
grado de pérdida y de ocurrencia de amenazas, con variados tiempos
sin funcionamiento del servicio.
Se considera riesgo muy alto a los servicios en donde la información se
pierde casi totalmente, con altas probabilidades de ocurrencia de
amenazas y tiempo altos sin funcionamiento del servicio.
2.4.1.1.1. Criterios de aceptación del riesgo
Los criterios de aceptación del riesgo por lo general dependen de las
políticas y objetivos de la organización, por lo que la evaluación del riesgo se realiza
de la comparación de los niveles de riesgo con los criterios para la evaluación del
mismo.
Tabla 2.6. Combinaciones de valores de los criterios básicos
EVALUACIÓN DEL RIESGO
COMBINACIONES
VALORACIÓN
Criterio de probabilidad
Impacto de acuerdo al
Pérdida de inf.
Total criterio
Nivel del
de ocurrencia
tiempo sin
por caída del
de
riesgo
funcionamiento del
servicio
evaluación
del riesgo
servicio
1
1
Pequeño
1
1
Bajo
1
Medio
2
2
Bajo
1
Grave
3
3
Bajo
1
1
Muy Grave
4
4
Bajo
1
2
Pequeño
1
2
Bajo
2
Medio
2
4
Bajo
2
Grave
3
6
Moderado
1
2
Muy Grave
4
8
Moderado
1
3
Pequeño
1
3
Bajo
3
Medio
2
6
Moderado
3
Grave
3
9
Moderado
1
3
Muy Grave
4
12
Moderado
1
4
Pequeño
1
4
Bajo
4
Medio
2
8
Moderado
4
Grave
3
12
Moderado
4
Muy Grave
4
16
Alto
1
Pequeño
1
2
Bajo
1
Medio
2
4
Bajo
1
1
1
1
POCO PROBABLE
1
1
1
1
Pequeño
Medio
Grave
Muy Grave
1
PROBABLE
2
2
Pequeño
95
Tabla 2.6. Combinaciones de valores de los criterios básicos
EVALUACIÓN DEL RIESGO
COMBINACIONES
VALORACIÓN
Criterio de probabilidad
Impacto de acuerdo al
Pérdida de inf.
Total criterio
Nivel del
de ocurrencia
tiempo sin
por caída del
de
riesgo
funcionamiento del
servicio
evaluación
servicio
1
Grave
3
6
Moderado
2
1
Muy Grave
4
8
Moderado
2
2
Pequeño
1
4
Bajo
2
Medio
2
8
Moderado
2
Grave
3
12
Moderado
2
2
Muy Grave
4
16
Alto
2
3
Pequeño
1
6
Moderado
3
Medio
2
12
Moderado
3
Grave
3
18
Alto
2
3
Muy Grave
4
24
Alto
2
4
Pequeño
1
8
Moderado
4
Medio
2
16
Alto
4
Grave
3
24
Alto
2
4
Muy Grave
4
32
Muy Alto
3
1
Pequeño
1
3
Bajo
1
Medio
2
6
Moderado
1
Grave
3
9
Moderado
3
1
Muy Grave
4
12
Moderado
3
2
Pequeño
1
6
Moderado
2
Medio
2
12
Moderado
2
Grave
3
18
Alto
3
2
Muy Grave
4
24
Alto
3
3
Pequeño
1
9
Moderado
3
Medio
2
18
Alto
3
Grave
3
27
Alto
3
3
Muy Grave
4
36
Alto
3
4
Pequeño
1
12
Moderado
4
Medio
2
24
Alto
4
Grave
3
36
Muy Alto
3
4
Muy Grave
4
48
Muy Alto
4
1
Pequeño
1
4
Bajo
1
Medio
2
8
Moderado
1
Grave
3
12
Moderado
2
2
2
2
2
2
3
3
3
3
MUY PROBABLE
3
3
3
3
ALTAMENTE
PROBABLE
del riesgo
2
4
4
Medio
Grave
Muy Grave
Pequeño
Medio
Grave
Muy Grave
Pequeño
96
Tabla 2.6. Combinaciones de valores de los criterios básicos
EVALUACIÓN DEL RIESGO
COMBINACIONES
VALORACIÓN
Criterio de probabilidad
Impacto de acuerdo al
Pérdida de inf.
Total criterio
Nivel del
de ocurrencia
tiempo sin
por caída del
de
riesgo
funcionamiento del
servicio
evaluación
servicio
4
Pequeño
4
4
4
Medio
del riesgo
1
Muy Grave
4
16
Alto
2
Pequeño
1
8
Moderado
2
Medio
2
16
Alto
2
Grave
3
24
Alto
4
2
Muy Grave
4
32
Muy Alto
ALTAMENTE
4
3
Pequeño
1
12
Moderado
PROBABLE
4
3
Medio
2
24
Alto
3
Grave
3
36
Muy Alto
4
3
Muy Grave
4
48
Muy Alto
4
4
Pequeño
1
16
Alto
4
Medio
2
32
Muy Alto
4
Grave
3
48
Muy Alto
4
Muy Grave
4
64
Muy Alto
4
4
4
Grave
Muy Grave
4
De las opciones establecidas en la Norma 27005 [2], para el tratamiento de
riesgos (retener, reducir, evitar o transferir), se considera la reducción para los
riesgos bajos, moderados, altos y muy altos. No se considera la retención del riesgo,
ya que existen vulnerabilidades que son bajas para un servicio y moderadas para
otro, por lo cual se plantea la reducción de esa vulnerabilidad y el tratamiento es
aplicable a todos los servicios. Para la evitación de un riesgo en particular, se deben
evadir las actividades o acciones que den origen al mismo, principalmente en los
casos en los que el riesgo se considera muy alto o los costos para implementar
otras opciones de tratamiento del riesgo exceden los beneficios. Debido a que la
DTT tiene restricciones de presupuesto para realizar sus actividades, no se puede
determinar para qué riesgos se puede hacer una evitación, porque la determinación
de los costos de implementación de los controles de seguridad considerados está
fuera del alcance de este proyecto.
Figura 2.8. Obtención de valores de nivel del riesgo
97
98
Se puede realizar la transferencia del riesgo, en el caso de que un servicio
de la DTT pase a formar parte de otra Dirección, en este caso, el manejo de la
gestión del riesgo para ese servicio será transferido con sus controles y
recomendaciones para minimizar el riesgo, lo cual será determinado por el Director
de la DTT. Se representan los criterios de aceptación del riesgo en la Tabla 2.7.
Tabla 2.7. Criterios de Aceptación y Tratamiento del Riesgo
NIVEL DEL RIESGO
TRATAMIENTO
Bajo
Moderado
Alto
REDUCCIÓN DEL RIESGO
Muy Alto
2.4.1.2. Alcance y límites
De acuerdo a la información descrita en la primera parte de este capítulo en
la Descripción de la Infraestructura tecnológica de la DTT, se plantea el siguiente
alcance y límites: El Análisis de Riesgos en la Seguridad de la Información abarca
los activos tanto de hardware como de software, que se describieron al inicio de
este capítulo, en donde se detalla el funcionamiento e infraestructura destinada
para la DTT.
Los activos que se describirán son los que permiten el desempeño correcto
de las responsabilidades a cargo de la DTT, por lo que con la gestión de los riesgos
presentes y la consideración de riesgos que puedan presentarse en el futuro, son
fundamentales para el cumplimiento de los objetivos que se ha propuesto la
Dirección.
Una vez que se analicen los riesgos en la seguridad de la información, se
planteará el tratamiento para los mismos, con el fin de minimizarlos hasta un nivel
aceptable para la Dirección, mediante la opción de reducción del riesgo de acuerdo
a lo expuesto en los criterios de aceptación del riesgo, planteando la aplicación de
los controles pertinentes; pero se debe mencionar que la implementación del
sistema queda fuera del alcance de este proyecto y se realizará cuando la DTT lo
crea pertinente.
99
2.4.2. VALORACIÓN
DEL
RIESGO
DE
LA
SEGURIDAD
DE
LA
INFORMACIÓN
De acuerdo a lo descrito en la Norma 27005 [2, p. 10]: “Los riesgos se
deberían identificar, describir cuantitativa o cualitativamente y priorizar frente a los
criterios de evaluación del riesgo y los objetivos relevantes para la organización.”
Se establece que la valoración del riesgo se realiza mediante las siguientes
actividades:
·
Identificación del riesgo
·
Estimación del riesgo
·
Evaluación del riesgo
2.4.2.1. Análisis del riesgo
2.4.2.1.1. Identificación del riesgo
Identificación de los Activos a cargo de la DTT
Todos los activos deben estar identificados y tener un funcionario
responsable de los mismos.
Existen varios tipos de activos a cargo de los funcionarios de la DTT, los
cuales están clasificados de acuerdo a:
·
Activos de información
·
Activos físicos
·
Activos de software
·
Activos de servicios.
Según lo descrito en la Norma 27002 [6, p. 18], se consideran activos de
información a los recursos que contengan la misma, como son: bases de datos y
archivos de datos, contratos y acuerdos, documentación del sistema, investigación
sobre investigación, manuales de usuario, procedimientos operativos o de soporte,
etc.
En activos de Información la DTT maneja:
·
Bases de datos: ORACLE, Lotus DOMINO, MS SQL Server
·
Documentación del sistema: Recursos compartidos
·
Información archivada: Almacenamiento (Storage), Backups.
100
Los activos físicos son todos los equipos físicos: de computación, de
comunicaciones, dispositivos periféricos, dispositivos removibles (pen drives,
discos duros externos, etc.). Se analizan solamente los activos que se encuentran
en el edificio matriz porque es en este edificio donde se encuentra la Dirección
Nacional de Desarrollo Tecnológico en Telecomunicaciones, siendo esta Dirección
el punto de concentración de todas las comunicaciones hacia las demás
Intendencias y Delegaciones, y se encuentra el Centro de Cómputo principal. Al ser
la DTT la encargada de manejar la red y dar soporte informático a toda la
SUPERTEL, posee datos aproximados de los equipos que se encuentran en el
edificio matriz, los cuales se describen a continuación:
·
Hardware de usuario (alrededor de 100 equipos de computación en
toda la red del edificio matriz)
·
Flash memories
·
Discos duros externos
·
Impresoras, Escáneres, Teléfonos IP
·
Servidores físicos: Servidores RISC, Servidores Intel
Esta Dirección tiene un área de desarrollo de software que maneja varias
aplicaciones creadas por sus funcionarios, por lo que se tiene una variedad de
software que administrar, además de las diversas herramientas de software
adquirido por la Institución, por lo que se consideran como activos de software a:
·
OnBase Server, OnBase usuario final
·
Auto Audit
·
Cliente Lotus Notes, Sametime, Correo electrónico, Lotus Mobile
·
Evolution, Only Control
·
Viáticos
·
Infracciones y Sanciones, Patrocinio Judicial, LEGALTEL, Reportes
Sala Ciudadano
·
Firma electrónica
·
Portal de telecomunicaciones
·
Sondas RNI
·
ICS, SADEQ, SIRA-TV, Inspecciones, Registro Mediciones SMA,
SACER, SAMM, SIETEL, SIGNVERIF
101
·
Proyecto SICOEIR (Sistema de Control del EIR – Equipment Identity
Register),
con
sus
módulos: Activaciones
en
línea, Arribo
Internacional, Ensambladores, Importadores, Lista de Positivos y
Depuración,
Listas
Negativas
Ecuador-Colombia-Perú-Bolivia-
Organismos Gubernamentales-CNT-SUPERTEL, Puntos de Venta y
Regalos y Cesiones
·
Control documental
·
Mail Gateway
·
Virtualización Intel, Virtualización RISC
·
Antivirus
·
Consolas
·
Servidores de aplicación: APACHE, Internet Information Server,
ORACLE App. Server, WEBLOGIC
·
Plataforma de inteligencia de negocios
·
Rational Composer
·
Control Remoto, Help Desk
En activos de servicios la Dirección trabaja con:
·
Videoconferencia
·
Noticiero digital
·
VPN
·
Intranet, Página Web institucional, Internet
·
Red SAN
·
Red Inalámbrica
·
Comunicación regional
·
Switching y Routing.
·
NAC
·
Seguridad de Servidores, Seguridad Perimetral
·
Telefonía
·
Cableado estructurado
·
DNS, DHCP, NTP
·
LDAP (Active Directory)
·
Citrix
102
·
Centro de cómputo
·
Servicios de aire acondicionado para los equipos del Centro de
Cómputo
·
Servicios con los que cuenta todo el edificio: iluminación, sistema
contra incendios, agua potable
La DTT tiene a cargo 80 servicios clasificados en los diferentes tipos de
activos, los cuales se describen brevemente; se debe aclarar que se tomarán los
servicios considerados más importantes, dentro de cada tipo de activo, para
mostrar cómo se realiza la evaluación del riesgo.
Activos de información
Nombre del servicio: ORACLE
Descripción
Técnica:
Administración
del
motor
ORACLE
para
almacenamiento y manejo de información de diferentes aplicaciones que funcionan
bajo esta plataforma.
Nombre del servicio: Lotus DOMINO
Descripción Técnica: Esta plataforma tiene como objetivo la colaboración en
una empresa, donde no solo se implementan bienes como el correo electrónico,
sino que también se puede programar en la plataforma e implementar aplicaciones
de terceros.
En la actualidad se encuentra dividido en clústeres por servicios, las
aplicaciones de terceros en un servidor y mensajería instantánea en otro servidor.
El workflow está almacenado en clústeres en dos servidores, para tener alta
redundancia y balanceo de carga. El servicio Sametime también se encuentra
trabajando en dos servidores debido a la carga y la demanda que requiere el
servicio, el correo electrónico está únicamente en un servidor.
Nombre del servicio: MS SQL Server
Descripción Técnica: SQL Server es el administrador de bases de datos,
información, tablas, etc., propio de Microsoft, tanto para aplicaciones en Producción
y Desarrollo.
103
Nombre del servicio: Recursos compartidos
Descripción técnica: Este servicio también se conoce como File Server, que
consiste en tener archivos a disposición en una red para cualquier tipo de usuario;
al manejarse con Windows Server 2003, permitía que usuarios hereden permisos
de las carpetas a los cuales no estaban autorizados.
Ya se tienen establecidas nuevas políticas de seguridad para este servicio,
donde se ha definido cómo se manejará el servicio en los nuevos equipos que se
adquirieron para el Centro de Cómputo.
Se tiene planificada una depuración de la información que se encuentra en
los servidores, pero la misma debe ser efectuada por los usuarios, no por parte de
la DTT, para lo cual se notificará y dará un plazo para realizarlo. Se tendrá
respaldada también parte de la información.
Nombre del servicio: Almacenamiento (Storage)
Descripción técnica: Administración de almacenamiento en línea e histórico
tanto de aplicaciones en ambiente de producción como de desarrollo.
Para Storage se tienen equipos con una gran cantidad de almacenamiento
en discos, que permiten asignar porciones de estos discos a los equipos de acuerdo
a los requerimientos que se tengan dependiendo de la plataforma; este equipo
también dispone de una consola cliente para administración.
Nombre del servicio: Backups
Descripción técnica: Administración de los sistemas de respaldo de la
información contenida en servidores institucionales.
La Institución cuenta actualmente con una VTL (Virtual Tape Library) para
realizar backups mediante un software que permite acceder a discos lógicos en
donde se respalda la información. Este servicio se maneja de la misma manera
para todas las delegaciones, a excepción de la Intendencia Sur.
Se cuenta con alarmas para verificar cuando un disco lógico ya no tiene
espacio o ya puede ser reutilizado, o si hay algún problema en algún disco. Se
están respaldando actualmente el File Server y las bases de datos. La VTL física
se dividió en cintas lógicas, actualmente no se tienen backups por lo que, en caso
de alguna pérdida del Centro de Cómputo, no se tiene un punto de partida.
104
La información considerada más crítica se está migrando hacia Cuenca.
Actualmente se manejan dos formas de realizar el backup: un incremental diario y
un full backup mensual; el primero obtiene un respaldo de toda la información de
las carpetas a las que se apunta hasta ese momento (full backup).
La herramienta ingresa a cada carpeta y ve si algún archivo sufrió algún
cambio, si es así guarda ese archivo modificado, sino no lo hace.
Se respaldan las carpetas consideradas críticas o que se ha pedido que se
respalde.
La DTT se encarga de monitorear que la información se esté respaldando y
el etiquetado de los discos lógicos. Se tienen cintas estándar de diferentes
capacidades con nomenclaturas definidas y si se definen cintas de diferente
capacidad se deberá definir también la nomenclatura.
Activos físicos
Nombre del servicio: Hardware de usuario
Descripción técnica: Consiste en el mantenimiento técnico de los equipos de
usuario final para los funcionarios de la SUPERTEL, incluyendo los dispositivos
periféricos y medios removibles; este servicio se brinda a los funcionarios del
edificio matriz, pero en caso de requerirlo también se asiste a la Intendencia
Regional Norte.
Nombre del servicio: Servidores INTEL, Servidores RISC
Descripción técnica: Administración de sistemas operativos y hardware de
servidores con base Intel y administración de sistemas operativos y hardware de
servidores con base RISC. Más información sobre servidores se encuentra en la
sección Descripción de Servidores (pág. 83).
Activos de software
Nombre del servicio: OnBase Server
Descripción técnica: Es una plataforma de gestión de documentos
electrónicos o digitalizados.
105
Este servidor contiene de manera lógica los archivos electrónicos, a nivel de
directorios. Permite hacer búsquedas, digitalizar los documentos e indexarlos
(palabras claves de cada documento), con lo cual cada documento corresponde a
un grupo de documentos con palabras clave. Utiliza SQL como motor de base de
datos y además utiliza File Directory (directorio propio de Windows) para guardar
los documentos. Se pueden definir volúmenes de información, colas de escaneo,
colas de impresión. Se pueden tener 100 usuarios concurrentes con la aplicación
de OnBase.
Se optó por instalar OnBase en Citrix por tema de licencias, de esta forma
virtualmente se puede dar acceso a los usuarios que requieran de este servicio.
Nombre del servicio: OnBase Usuario Final
Descripción técnica: Software que permite el ingreso y búsqueda de los
documentos electrónicos. Permite la digitalización y captura de documentos y es la
base fundamental del sistema de Manejo de Contenido Empresarial.
Nombre del servicio: Auto Audit
Descripción Técnica: Sistema de seguimiento de recomendaciones de
Auditoría. Auto Audit viene incorporado con el sistema Issue Track, ésta es una
versión de escritorio cliente – servidor, mientras que el Issue Track es un sistema
web este sistema es de un proveedor externo. Cuenta con todos los exámenes de
auditoría que se realizan: papeles de trabajo, hallazgos, y dentro de éstos están las
recomendaciones. Las recomendaciones dicen lo que un funcionario está
destinado a hacer y se puede dar un seguimiento dentro de la auditoría interna, y
obtener reportes. La función de la DTT es dar soporte en la creación de usuarios,
envío de correos automáticos, configuraciones de instalación, capacitación, etc. La
información ingresada se encuentra en la base de datos SQL Server.
Nombre del servicio: Cliente Lotus Notes
Descripción técnica: Aplicación de escritorio para el área de trabajo.
La seguridad que se tiene en esta aplicación tiene que ver tanto con la
seguridad propia de la plataforma, como de los niveles de seguridad que dan las
aplicaciones por sí mismas.
106
Plataforma DOMINO: es una plataforma completa, donde se tienen
integrados varios servidores para: aplicaciones, web, LDAP, POP3, IMAP, SMTP,
de acceso remoto, etc., que permite realizar diferentes tareas dentro de esta
plataforma.
Uno de los más importantes es el servidor LDAP, que se encarga del
almacenamiento de usuarios y sus credenciales, lo que funciona como un primer
nivel de seguridad. DOMINO implementa otro nivel de seguridad por medio del
archivo ID, que es en el que se configura la información de cada usuario junto con
su contraseña y permite el acceso por medio de un Cliente Lotus, aún no se ha
podido romper el cifrado de este archivo ID, es decir que no ha sido vulnerado; es
importante considerar el nivel de seguridad que le dé el usuario a su archivo.
Si se quiere acceder a los servidores mediante web, se utiliza otra
contraseña diferente a la del archivo ID, que es manejada por el servidor LDAP, es
decir que en el servidor se manejan dos contraseñas: la de acceso web y la del
archivo ID.
Además, la plataforma DOMINO implementa sobre todas sus aplicaciones
siete diferentes niveles de seguridad pre-configurados; es decir que, al crear una
nueva aplicación, ésta tendrá los siete niveles de seguridad por defecto, que son:
·
Administrador: Tiene control total de las aplicaciones
·
Diseñador: Además de leer y escribir documentos, pueden modificar
elementos de diseño de la aplicación
·
Editor: Puede leer y escribir documentos
·
Autor: Puede modificar documentos que ha creado, y puede leer los
demás documentos
·
Lector: Solamente puede leer documentos
·
Depositador: Puede colocar documentos, pero no verlos
·
No Access: sin acceso
Cada tipo de acceso tiene atributos que se van activando por defecto para
activar o desactivar las ciertas acciones, es decir que se puede configurar el nivel
de seguridad y los atributos que tendrá la aplicación. Para otras aplicaciones se
definen tipos de usuarios, entre los que están administrador, usuarios por defecto
o usuarios comunes, por ejemplo, el usuario “Anonimous”, este último se utiliza para
manejar los accesos de aplicaciones web y es asignado para que un usuario
107
ingrese sin autenticarse, generalmente se utiliza para aplicaciones publicadas que
serán accedidas desde el exterior.
Otra de las formas para implementar seguridad por parte de la plataforma
DOMINO es la utilización de cifrado, que se implementa en cada aplicación y con
el nivel que se requiera, es decir usar niveles de cifrado fuerte, mediana o básica,
y tiene que ver con la forma en la que se envía la información a través del canal de
comunicación; se puede aplicar tanto a aplicaciones web como a aplicaciones
locales.
Se decidió trabajar con Lotus Notes porque es una plataforma documental,
y no hay muchas plataformas que compitan con esta en la parte documental, ya
que esta plataforma desde su inicio trabajó en la parte documental, a diferencia de
otras que están iniciando un desarrollo en este aspecto; esto les da una
considerable ventaja frente a otras herramientas. Los servidores en los que se
encuentran instaladas las aplicaciones cuentan con archivos de configuración en
los que se define si tienen servidores réplica y cuáles son, para que en el caso de
que falle el servidor, el cliente tenga la opción de conectarse a uno de sus réplicas;
pero un inconveniente que se presenta es que el usuario mismo es el que tiene que
realizar la conexión al servidor principal cuando este ya esté funcionando
correctamente, puesto que se queda conectado a la réplica.
Nombre del servicio: Sametime
Descripción técnica: Aplicación Cliente/Servidor y aplicación middleware que
provee en tiempo real comunicación unificada y colaboración para empresas. Estas
capacidades incluyen información presente, mensajería instantánea, conferencia
web, colaboración en la comunidad y capacidades de telefonía e integración.
Incluye ubicación de la localidad, emoticones, e historial de chat, conversaciones
en grupo y múltiples, conferencia Web.
Nombre del servicio: Correo Electrónico Institucional
Descripción técnica: Provee “Enterprise-Grade E-mail”, capacidades de
colaboración, y plataforma de aplicaciones personalizadas al cliente, con lo que se
tiene un incremento de colaboración en la organización, correo vía web, correo en
escritorio, en celulares, manejo de agenda, calendario, tareas.
108
Nombre del Servicio: Lotus Mobile
Descripción técnica: Es una aplicación para correo electrónico sobre
teléfonos celulares, una vez descargada la aplicación ésta puede ser instalada en
dispositivos móviles, ipads, equipos móviles en general, con lo cual viene cargado
un certificado para que funcione con IOS, Android y BlackBerry a partir del Z10.
Nombre del servicio: Evolution
Descripción técnica: Es un sistema que va de la mano con el sistema Only
Control; el momento que Only Control envía la información que recolectó, se genera
una especie de base de datos que contiene los registros individuales de cada
funcionario, elaborando una planilla, que a su vez sirve para elaborar los roles de
pago de cada usuario.
Esta base de datos se almacena en el servidor de Citrix; este sistema tiene
un software que es manejado por el funcionario nombrado como administrador del
mismo.
Nombre del servicio: Only Control
Descripción técnica: Es un sistema que trabaja junto con el sistema Evolution,
y se encarga de la detección de huella digital, es decir el sistema biométrico para
el control de asistencia, por lo que envía la información a una base de datos, en
donde se puede ver la información individual de cada usuario.
Este sistema tiene una interfaz de usuario que puede ser manejado por el
usuario nombrado como administrador de este sistema, que para facilidad de otras
actividades es un funcionario de la Dirección de Talento Humano.
La DTT se encarga de supervisar el correcto funcionamiento ininterrumpido
de este sistema, o que esté enlazado correctamente con el sistema Evolution; el
mantenimiento de este sistema lo hace la empresa proveedora de esta solución.
Nombre del servicio: Viáticos
Descripción técnica: Esta aplicación permite el seguimiento y control en la
solicitud de viáticos e informe de comisión de servicios según las normativas
vigentes. Fue desarrollada en base a una plantilla, es decir modelos predefinidos
con los que cuenta la plataforma DOMINO a través de la herramienta Lotus
109
Workflow, la que a su vez necesita de cuatro aplicaciones más: base de
organización, base de diseño, base del proceso y la aplicación como tal.
Al usar estas plantillas, Lotus Workflow ya establece los niveles de seguridad,
en donde se manejan grupos propios para la administración y necesariamente se
deben utilizar los roles que vienen predefinidos, los cuales a su vez ya tiene
configurados cierta cantidad de atributos, pero que sí se pueden modificar como
desarrolladores.
Esta es la diferencia entre esta aplicación y las aplicaciones de Control
Documental y Help Desk, las cuales fueron desarrolladas mediante líneas de
programación.
Nombre del servicio: Sistema de Infracciones y Sanciones
Descripción técnica: El sistema de Infracciones y Sanciones sigue un
proceso en el cual, se recibe como archivo de entrada un informe técnico, y
dependiendo de la gravedad del suceso se generan notificaciones, avisos, o una
infracción, es decir que puede existir una infracción y posteriormente convertirse en
sanción, esto de acuerdo al criterio de los funcionarios de la unidad jurídica, y se
puede hacer un seguimiento de todos estos procesos, además de que en caso de
existir multas interviene la parte de coactivas. Se tienen varios tipos de usuarios
finales: funcionarios técnicos, jurídicos y de cobranzas, y dependiendo de los roles
que tengan los usuarios, pueden ver las pantallas de los informes técnicos o pueden
acceder a pantallas jurídicas o de coactivas. Por otro lado se tiene usuarios
administradores globales, que pueden acceder a todo el sistema (pantallas de
administración para calendarios, creación de usuarios, asignación de jurisdicciones,
cambio de clave de otros usuarios, etc.).
El sistema está desarrollado en Visual Basic 6, pero funciona correctamente.
Se desarrolló un nuevo módulo para reportería y se realizan capacitaciones a cargo
de la DTT (además se da mantenimiento al sistema y la base de datos). La
autenticación en el sistema se hace en dos fases, al momento de la instalación se
usan las credenciales de Windows (que debe pertenecer al grupo de Active
Directory llamado Sanciones), si no pertenece a ese grupo no se puede autenticar
en la máquina; no se tiene un control de acceso más estricto en cuanto a que otro
usuario que también pertenezca a ese grupo se pueda autenticar en el sistema (con
110
sus credenciales del sistema) desde la máquina de otro funcionario que también
pertenezca.
Nombre del servicio: Sistema Informático de Control de Patrocinio
Descripción Técnica: Permite al Patrocinio Judicial de la Superintendencia
de Telecomunicaciones, llevar a cabo una gestión práctica de los documentos
inherentes a los procesos judiciales para facilitar la presentación de escritos y el
archivado de cada proceso judicial. Esta aplicación permite generar formularios,
colocando campos para ingresar la información que se desee con respecto al tema.
Nombre del servicio: LEGALTEL
Descripción Técnica: Administración de sistema informático que permite
consultas de aspectos legales de Telecomunicaciones. Este sistema es hecho por
proveedor externo, contiene una base de datos donde se buscan resoluciones de
temas de telecomunicaciones, que sirven a los funcionarios técnicos para tomar
decisiones sobre si una empresa está incurriendo en alguna falta; para el caso de
Infracciones y Sanciones, la parte jurídica lo usa para saber qué ley es la que tienen
que aplicar. Cada usuario tiene su usuario y contraseña y tienen una seguridad para
que no se instale dos veces la misma licencia en una máquina. El soporte está a
cargo la DTT, para actualizar el software mediante la creación de una carpeta
compartida donde se cargan todas las nuevas actualizaciones.
Nombre del servicio: Reportes Sala de Servicio al Ciudadano
Descripción técnica: El Desarrollo e Implementación de una Herramienta
Informática para la Sala de Servicio al Ciudadano, tiene por objetivo implementar
un servicio de reportaría web que permita automatizar los procesos de extracción y
publicación de datos estadísticos e informativos concernientes a los servicios de
Información y Reclamos de la Superintendencia de Telecomunicaciones.
Nombre del Servicio: Firma Electrónica
Descripción técnica: La firma electrónica es un archivo certificado que
permite abalizar un documento digital, con la misma validez que una firma física en
papel, jurídicamente reconocida; este archivo se encarga de insertar la firma en un
documento digital. El uso de las Firmas Electrónicas es para los archivos creados
111
en el sistema Lotus, el momento en el que se crea el documento en PDF con el
programa PDF Creator, se asigna a ese documento digital la firma electrónica, por
lo que, al revisar un documento en el sistema, aparece el formato que está en el
sistema con la forma digital, esa es la seguridad que se maneja con los archivos
digitales, y es como se validan los archivos en la SUPERTEL.
Nombre del Servicio: Portal de Telecomunicaciones
Descripción técnica: El portal permite tener una interacción directa con el
usuario y la plataforma, contrario a la página web la cual es estática.
La idea fue poner un portal de servicios en donde al ingresar el usuario pueda
interactuar con todos los servicios que tenga la SUPERTEL, además se tiene
información técnica, estadísticas y la posibilidad de hacer preguntas, siendo esto
muy útil para el usuario final.
También se tienen las aplicaciones del portal como son: homologaciones,
consulta de documentos y certificados de no adeudar; estas aplicaciones son para
los usuarios externos, los mismos que podrán ingresar al portal y hacer desde la
Web sus requerimientos.
Nombre del servicio: Sondas RNI
Descripción técnica: Sistema de Monitorización de Sondas de Radiación No
Ionizante.
Es un aplicativo desarrollado en PHP que obtiene toda la información de
antenas ubicadas en cada provincia, y se va almacenando la información en una
base de datos; mediante el aplicativo se puede observar una gráfica que representa
la monitorización de las ondas que emiten las estaciones de telefonía celular
(servicio SMA), las cuales deben estar dentro de un rango definido por ley, en caso
de que sobrepase el límite permitido se procede a realizar una inspección.
Nombre del Servicio: ICS
Descripción técnica: Solución comercial para la generación de estudios de
ingeniería de propagación. Este sistema se alimenta de la información que se carga
en SIRA-TV e información proveniente de otro sistema llamado SIGER que le
pertenece a la SENATEL (servicio fijo, móvil, modulación de banda ancha, enlaces
112
radioeléctricos, entre otros). La información proveniente de los sistemas
mencionados anteriormente se reparte entre otras aplicaciones que necesitan de
esta información para hacer el control de las telecomunicaciones. El ICS Manager
es una aplicación que permite simular coberturas, para verificar que los
concesionarios cumplan con las coberturas que estipularon; o también se puede
ver con las simulaciones los lugares en los que se tendrá defectos de las coberturas
o que no llega la señal como debería. Solamente ayuda a ver los niveles de
cobertura, no es tan potente como para realizar actividades de control.
Nombre del Servicio: SADEQ
Descripción técnica: SADEQ (Sistema de administración de equipos) es un
sistema de control de salida de equipos de las bodegas de las unidades regionales.
Cada unidad regional de la SUPERTEL tiene sus equipos: analizadores, antenas,
transformadores, etc., por lo tanto, estos equipos se prestan para que se realice el
control técnico en campo, como comisión de servicios fuera de la provincia o dentro
de la misma, como inspección. Por lo tanto, esta herramienta lo que hace es
agrupar por regional todos los equipos que contienen y hacer un préstamo normal,
es decir quién es el funcionario que se va, cuándo se va, cuándo regresa, un
cronograma de actividades donde consta qué equipos se van a llevar, siendo
semejante a una factura, ésta es una primera parte la de los préstamos. La segunda
parte es la devolución de los préstamos, registrar equipos nuevos, enviarlos a
mantenimiento. De la misma manera se puede ver los reportes de cuentas veces
el equipo ha sido prestado. Esta aplicación se conecta al Oracle APP Server.
Nombre del Servicio: SIRA-TV
Descripción técnica: Solución que permite el registro y seguimiento de los
concesionarios de servicios de Radiodifusión y TV. La administración de este
sistema pasó a la SENATEL, y lo que actualmente hace la SUPERTEL es una ligera
absorción de la información. La SENATEL hizo el levantamiento de su servidor para
SIRA-TV, así como de la base de datos, y se comparten los archivos de backup que
se guardan cada día en el servidor por medio de un servidor SFTP, con lo cual se
logra simular que se tiene el sistema funcionando de manera local, pero con la
113
diferencia de que la información que se carga en el sistema en la SUPERTEL tiene
un día de retraso.
La información que se carga en el SIRA-TV permite que otros sistemas que
necesitan dicha información la absorban y puedan cumplirse las funciones de
control que tiene la Institución.
Nombre del Servicio: Inspecciones
Descripción técnica: Aplicación que permite realizar el seguimiento de una
inspección de forma automática mediante una orden de trabajo y la emisión de los
respectivos informes de inspección de los servicios técnicos de la institución.
Permite la Integración con el directorio institucional, para un ágil movimiento
de subrogaciones, despliegue de cargos, interacción con aplicación de viáticos,
registro de informes, inspecciones, guías de remisión, registro de aprobación de
imprevistos y planificados, reportes consolidados de inspecciones finalizadas.
Este sistema solamente cuenta con autenticación de los usuarios como
mecanismo de seguridad, no se ha aplicado cifrado, como en la mayoría de
aplicaciones que son internas de la SUPERTEL; para incrementar la seguridad se
podría aplicar un certificado de seguridad que permita una conexión HTTPS.
Nombre del Servicio: Registro de Mediciones SMA (Servicio móvil avanzado)
Descripción técnica: El objetivo de este servicio es poner las mediciones de
SMA que se hagan dentro de la base de datos, donde se generan formularios y se
ingresar los campos requeridos; esta información se extrae y se puede observar en
estadísticas de las mediciones por zonas. Se hace un mantenimiento a los
formularios de: STM1 (llamadas establecidas on-net), STM7 (tasa de mensajes
cortos recibidos por el destinatario final tiempo promedio de recepción de SMS),
STM9 (porcentaje de cobertura en zonas urbanas y rurales), STM10 (sitios con
llamadas caídas), STM11 (porcentaje de cobertura en carreteras), STM 12 (calidad
de conversación).
Nombre del Servicio: SACER
Descripción técnica: El sistema SACER (Sistema automático de control del
espectro radioeléctrico) es el núcleo de control de la SUPERTEL, éste si necesita
toda la información respecto al SIGER y al SIRA-TV porque sin esta información no
114
se podría hacer el control, ya que este sistema necesita la lista de frecuencias
obtenidas de estos dos sistemas de información.
Con este sistema se monitorea y se hace el control del espectro; hasta el
momento existen 28 estaciones de monitoreo, 23 fijas y 5 móviles. La unidad central
del sistema SACER se encuentra en la matriz de la SUPERTEL, pero también
existen otros centros de control en las diferentes delegaciones, para que cada
delegación tenga información de su delegación, pero en la matriz se puede tener
toda la información y su transmisión se maneja mediante FTP. El SACER tiene dos
servicios propios del sistema, el cual envía archivos de mediciones y también envía
archivos de resultados ya sea para cada uno de los centros regionales como
también para el centro nacional de control. Cada uno de las personas que ocupa el
sistema SACER posee carpetas temporales y de ahí se pasa la información a otra
base de datos; en caso de una falencia del servidor del SACER donde está la base
de datos, se tiene un disco con 2Tb de espacio, que se llenó por completo por la
información recaudada sea o no necesaria tenerla.
Nombre del Servicio: SAMM
Descripción técnica: SAMM (Sistema autónomo de medición del servicio
móvil avanzado) es una solución comercial para medición de calidad de servicios
de telecomunicaciones. Tiene un servidor de FTP y un servidor de Base de Datos
que están conectados a la nube, desde ahí se conectan 64 RTU, en cada RTU se
tienen cuatro teléfonos, básicamente los RTU son laptops que se incorporan vía
USB a los teléfonos; el sistema operativo es Windows, cada teléfono se asigna a
una operadora (CNT, Movistar, Claro), y el otro teléfono es para recopilar los datos
y enviar vía FTP la información al servidor, por lo tanto en el servidor FTP se tienen
archivos de entrada y de salida.
En el servidor de Base de Datos los técnicos programan que cierto RTU
ubicado en alguna ciudad realice mediciones con ciertos requerimientos técnicos,
especificando la hora en la que se realizarán y así se emiten datos,
aproximadamente se tienen 5 TB y solo se guarda lo que se generó en los últimos
seis meses, con esto se logra hacer el control de calidad de las operadoras.
115
La dirección encargada de estas mediciones es la Dirección de Servicios de
Telecomunicaciones, los cuales están a cargo de telefonía móvil avanzada,
logrando automatizar las mediciones a las regionales.
Nombre del Servicio: SIETEL
Descripción técnica: SIETEL es un sistema que permite hacer registro de
información de varios servicios de telecomunicaciones como son importadores,
cibercafés, ISP, por lo tanto tienen la información de todos estos servicios; lo que
se hacía anteriormente es que cada empresa tenía la obligación de traer la
información a la SUPERTEL, y un usuario recogía esa información la ingresaba y
generaba estadísticas para enviar a la SENATEL, entonces si el usuario no se
encontraba o el computador se dañaba, la información se perdía.
Es por esta razón que se pensó en hacer una base de datos para que todos
los servicios funcionen dentro de la misma, después obligaron a las empresas a
que ingresen información a través del sistema SIETEL.
Una vez ingresada la información, SIETEL recoge esta información y genera
siete formularios, siendo éstos los formularios que pide CONATEL para sus
actividades, y de igual forma para los demás servicios.
En la actualidad la SENATEL se está conectada directamente con el servidor
de la SUPERTEL.
Nombre del Servicio: SIGNVERIF
Descripción técnica: Es un sistema desarrollado que sirve para que las
operadoras envíen documentación específica en un día y hora planificados, esto se
hizo con la disposición de que la documentación que se envíe se haga con la firma
electrónica, y este sistema verificará cuándo fue firmado para que no haya retrasos.
Este sistema recopila información enviada y verifica la firma, además obtiene
un resumen que indica si el documento y su firma son válidos, con la fecha que se
indica y con el formato para la firma electrónica del Banco Central, y así el técnico
puede hacer un informe con la información que ingresó.
Nombre del servicio: Proyecto SICOEIR (Sistema de Control del EIR –
Equipment Identity Register)
116
Módulo SICOEIR - Activaciones en línea
Descripción técnica: Servicio de autorización por parte la Superintendencia
de Telecomunicaciones hacia las operadoras, el cual verifica la validez y autoriza la
activación de los terminales móviles en el Ecuador.
Activaciones en línea es un servicio web, para controlar las activaciones de
las operadoras. Antes de que una operadora haga la activación de una línea nueva,
la SUPERTEL por medio de este módulo, verifica con un análisis de la base de
datos de listas negativas, pre-positivas y positivas, y pueda autorizar o denegar la
activación. En cuanto a seguridad se tiene una primera capa a nivel de red, para
que a la base de datos puedan acceder los servidores de aplicaciones y las
máquinas de los desarrolladores, luego se tiene seguridad a nivel del sistema
operativo y finalmente la seguridad propia de la base de datos.
Módulo SICOEIR – Arribo Internacional
Descripción técnica: Módulo que permite registrar terminarles ingresadas vía
Arribo Internacional. Este servicio tiene dos formas de utilizarse, la primera es como
un servicio web publicado al exterior al cual se conectan las operadoras mediante
un aplicativo, y sirve para registrar los teléfonos que vienen del exterior, debido a
los nuevos controles que deben hacer a los dispositivos móviles, con lo cual se
hacen algunas validaciones para que el registro del teléfono sea totalmente
consistente. El otro tipo de arribo internacional es en batch (procesamiento en lotes),
en el cual las operadoras dan a un servidor SFTP archivos que contienen toda la
información necesaria para el registro de los dispositivos, este aplicativo corre una
vez por semana de forma automática y se hace su respectivo procesamiento. Es
un aplicativo de tipo empresarial que se encuentra sobre un JBoss en Linux.
Módulo SICOEIR – Ensambladores
Descripción técnica: Servicio de carga para la entrega de la información por
parte de los ensambladores nacionales de los terminales móviles previo a la
comercialización de los terminales móviles. El módulo de Ensambladores hace un
procesamiento en batch (procesamiento en lotes) de archivos recibidos por SFTP;
sirve para registrar los dispositivos móviles que son ensamblados en el país, cada
117
uno de estos dispositivos tiene un IMEI que es registrado para poder ser
comercializado posteriormente.
La seguridad que se maneja para este módulo es la autenticación y la
utilización de SFTP, pero además los usuarios solamente pueden guardar su
información en su respectiva carpeta, y no pueden ver ni descargar información de
las carpetas de otros usuarios, es decir solamente permisos de escritura; además
se cuenta con una carpeta de respaldo donde, una vez que se procesan los
archivos, se guardan en una carpeta a la que los usuarios no tienen ningún permiso
de acceso, y también se tiene una carpeta de respuesta en donde se colocan
archivos de respuestas a los usuarios, los mismos que tiene permisos solamente
de lectura.
Módulo SICOEIR - Importadores
Descripción técnica: Página web, disponible para los importadores de
dispositivos móviles autorizados por la SENATEL para el ingreso del detalle de los
IMEI de las importaciones.
Es una página web, en donde los usuarios suben archivos, y éstos son preprocesados en línea, respondiendo en ese momento si hay algún problema, y luego
pasan a la base de datos para ser procesados; para acceder a ese servicio los
usuarios deben autenticarse, por lo que se tiene una tabla en la base de datos que
contiene las credenciales de los mismos.
Además de las capas de seguridad mencionadas en Activaciones en línea,
se tiene seguridad para este módulo por medio de autenticación, y seguridad a nivel
de la sesión web, donde se tiene un tiempo de caducidad, para que en caso de que
se deje abierta una sesión, otras personas no puedan utilizar esa sesión.
Se debe mencionar que se tiene una compartición de la base de datos de la
SUPERTEL con la SENAE, y viceversa, porque la SENAE es parte del proceso que
realizan los importadores, esto se realiza por medio de un enlace dedicado
directamente dirigido a la base de datos. Este sería el módulo más crítico a ser
accedido o dañado.
Módulo SICOEIR - Lista de Positivos y Depuración
Descripción técnica: SICOEIR o “Sistema de control del EIR” es la base de
datos de todos los teléfonos que están activos en el Ecuador en cada una de las
118
operadoras. En primer lugar las operadoras depositan archivos en un servidor SFTP,
este servidor almacena toda la información que envían las operadoras, es decir
información de: activaciones, portaciones, inactivaciones y CDR; estas cuatro
cosas se depositan en carpetas específicas y se ejecuta un proceso con la base de
datos conectándose al SFTP para ver los archivos que se generan y procesarlos,
cada proceso tiene su lógica, por ejemplo, el de activaciones verifica que el equipo
esté homologado, que no se encuentre en lista de negativos, de esta forma ubicarlo
y obtener reportes de las inconsistencias que se presenten, en cambio aportaciones
lo que hace es desactivar dupletas que se encuentren en positivos o en depuración.
Todo aquello que opera con normalidad se almacena en lista de positivos,
en cambio todo aquello que se encuentra como duplicado o no homologado se
almacena en lista de negativos.
Se debe tomar en cuenta que todos los equipos entran a lista de depuración,
es decir si un teléfono ha sido ingresado recientemente esta información genera un
archivo y si este archivo tiene alguna inconsistencia se envían a la lista de
depuración, pero el equipo sigue operando normalmente, y se analiza bajo qué
condiciones los equipos se bloquean, por ejemplo, si existen teléfonos duplicados
(IMEI), se bloquean el o los equipos que tengan el mismo número de IMEI.
Actualmente este módulo solo saca reportes.
CDR registra cuántas llamadas se hacen por día, enviando el registro del
número de teléfono, entonces los CDR sirven para detectar cambios en las dupletas,
enviando todo el tráfico generado en ese día.
Lo que se hace es tomar los últimos estados de las dupletas de cada día,
esto para comparar con la lista de positivos, y así verificar que en realidad se
encuentre en positivos o en depuración, pero si se nota algún cambio de chip o que
el chip fue usado con otro teléfono pasa a un proceso de seguimiento de cinco días,
analizando si el usuario sigue haciendo cambios de la SIM al teléfono original,
generando procesos de regularización. Todos los reportes se obtienen cada
semana, y así sigue operando la base de datos. CDR todavía se encuentra en
proceso de pruebas, no está en producción, pero todos los demás módulos ya están
en.
Estos módulos han ido evolucionando teniendo como resultados diferentes
versiones, antes se compartía la información vía correo electrónico con las
119
operadoras, es decir por cada robo que había en el país se notificaba por correo
electrónico interno de la institución haciendo que toda la información que llegaba
se dirija directamente a la base de datos para guardar y confirmar la información de
los equipos.
Actualmente este proyecto se encuentra en la versión 3.0. Este proyecto está
abierto para que se pueda extender, pero para esto se necesita de la petición de
las autoridades dependiendo de las nuevas necesidades.
Módulo SICOEIR - Listas Negativas Ecuador-Colombia-Perú-BoliviaOrganismos Gubernamentales-CNT-SUPERTEL
Descripción técnica: Sistema que permite llevar un control y monitoreo del
bloqueo efectivo de terminales robados y liberados que notifican los usuarios a
través de las operadoras del servicio móvil avanzado en Ecuador, Colombia, Perú
y Bolivia, además se consideran los organismos gubernamentales en Ecuador
como SENAE y ECU911. Se tienen varios clientes o módulos siendo éstos:
operadoras, SUPERTEL, países, organismos gubernamentales, que se comunican
directamente con la lista de negativos, siendo éstos los más importantes, por tanto,
el sistema enlaza todos estos módulos a la lista de negativos (base de datos). El
módulo de la SUPERTEL puede interactuar con los otros módulos. El objetivo del
SICOEIR - Lista de negativos es que todos los módulos puedan bloquear celulares,
teniendo la conexión con la base de datos; la seguridad que se da es a nivel de red.
A nivel de aplicación, sí se puede dar cierto nivel de seguridad, esto se lo puede
hacer en el código a implementar, mediante la plataforma de Oracle, se puede
interactuar con un bróker que solo es usado por las operadoras, siendo éste un bus
empresarial, el cual se encarga de hacer notificaciones a la base de datos con los
bloqueos válidos.
Para que exista comunicación entre la base y el bróker se definen colas
(vías) de ida y de regreso para cada una de las operadoras existentes. Cada
operadora tiene configurado un canal de comunicación único para esa operadora.
También se hace validación de XML, es decir la estructura del mensaje, si
una tercera persona mal intencionada quiere acceder a la información o enviar una
gran cantidad de datos para que la base se congestione, se tiene a XML que verifica
120
la estructura de la información y no deja pasar información innecesaria, filtrando
solo la información útil.
Se puede tener un segundo nivel de validación en la base de datos,
verificando que la información ingresada en los campos esté correcta. De esta
forma se hace validación de estructura, validación interna, y por último se tendría
la información necesaria para ser procesada y envío de mensajes de error
informando que la información es incorrecta o que no tiene la estructura adecuada.
Una vez que reporta el bloqueo de un celular y ya se encuentra en negativos, éste
tendrá un enlace a positivos con avisos de que un número IMEI se encuentra en
negativos; así también se envían mensajes a los prepositivos para la liberación de
números en el caso de que se compruebe que no deben estar en negativos.
Este tipo de seguridad es el que se da a nivel de datos. Por seguridad cada
usuario tiene su usuario y contraseña para acceder a la información o para hacer
registro de nueva información. Un sistema solo se puede conectar con otro sistema
para el envío de información. En la lista de negativos no existen publicaciones a
Internet, la transferencia se hace por el bróker, Oracle y servidor SFTP. El SFTP se
utiliza para interactuar con los países enviándoles información, esto se hace vía
web.
Cada desarrollador tiene su propio back-up de su aplicativo. Actualmente no
se da alta disponibilidad de equipos para guardar información extra, es por ello que
solo se saca respaldos de información mas no de la aplicación y código fuente de
las mismas, pudiendo producir pérdidas de información.
Módulo SICOEIR - Puntos de Venta
Descripción técnica: Servicio de carga para la entrega de la información por
parte de los puntos de venta nacionales de los terminales móviles previo a la
comercialización de los terminales móviles. También es un procesamiento en batch
de archivos, al igual que ensambladores. Es un módulo temporal que se utiliza para
subir la información de lo que tienen en perchas y en bodegas en los puntos de
venta de los dispositivos móviles que ya están en el país. En lo referente a
seguridad manejan los mismos parámetros descritos en el módulo de
ensambladores.
121
Módulo SICOEIR - Regalos y Cesiones
Descripción técnica: Proceso que permite realizar transferencias o cesiones
(cambios) de terminales nuevos o usados entre personas. Lo que hace este módulo
es recibir información de las operadoras para procesar el IMEI (identificador de un
celular), y determinar si puede ser cedido a otra persona, para esto se hace una
validación de que el IMEI del celular pueda ser regalado o cedido, es decir que no
esté notificado como robado o que esté correctamente homologado.
Éste es un servicio web que es consumido por las operadoras; en primer
lugar se valida la información que ingresa la operadora para verificar que el usuario
esté correctamente autenticado en el sistema, luego se hacen validaciones con la
base de datos que almacena esta información para controlar el terminal que será
regalado. De igual forma, la información que se procesa dentro de este módulo es
monitoreada para saber cómo y para qué fue la interacción del usuario con el
módulo, es decir un registro de actividades.
Este módulo está en fase de pruebas por parte de las operadores, las cual
aún no han iniciado, ya que las operadoras deben dar una aceptación de la
funcionalidad del módulo, y esto se tiene que formalizar mediante algunas
actividades, entre las cuales están las pruebas, por lo que mientras no se realicen,
el módulo no puede pasar a producción.
Nombre del servicio: Control Documental
Descripción técnica: Este sistema es una aplicación que permite el envío y
recepción de memos, oficios, circulares, entre las unidades administrativas de la
SUPERTEL y la recepción de trámites externos interinstitucionales; está dentro de
la plataforma DOMINO, ya que Lotus en sí es una plataforma documental.
Como se mencionó antes, se tiene otro nivel de seguridad por parte de la
aplicación, que a su vez manejan roles para ayudar a personalizar los niveles de
seguridad, entonces sobre los documentos se manejan campos lectores y autores;
con lo cual, si se activa un campo como lector, se podrá habilitar o no la lectura de
un trámite para una persona, y si se activa el campo autor, se define como autor o
no de un documento a una persona para que se apliquen los otros 7 niveles de
seguridad, haciendo completa la seguridad que se implementa en Lotus. Pero se
debe tomar en cuenta también cómo el usuario solicite sus niveles de seguridad al
122
momento de implementarlos; entre los roles que se han definido están los roles de
súper-usuario, administrador, documentos confidenciales y documentos normales.
Nombre del Servicio: Mail Gateway
Descripción técnica: Administración de sonda de filtrado de correos
entrantes y salientes para análisis de virus en su contenido. Se tiene una banda de
zona desmilitarizada, que pone al frente entidades físicas que son las primeras en
reaccionar en caso de que haya alguno. En el momento que llegue un mail masivo
o con contenido no apropiado, se filtra, ésta es la funcionalidad del todos los mail
gateway, por esto detectan, y en base a la administración que se haga, se puede
recibir avisos positivos de ataques, haciendo que esto sea una mejor práctica. El
mail Gateway pueden ser capas implementadas por medio de equipos o software.
Nombre del Servicio: Antivirus
Descripción técnica: Servicio de Protección antivirus para estaciones de
trabajo y servidores Windows y Linux. Además de la seguridad brindada por
firewalls, el antivirus es un sistema de seguridad que está instalado en cada
máquina y en los servidores para prevenir los ataques de los virus más comunes
que están en la red.
Nombre del Servicio: Consolas
Descripción técnica: Administración de consolas de Blade Center y Pi series
tanto de centro de cómputo principal como alterno.
Se maneja dos plataformas de hardware: la primera es la plataforma X86
que pertenece a la línea de servidores Intel, la segunda es la plataforma Power para
los procesadores RISC; cada plataforma tiene sus consolas de administración;
todos los servidores son virtualizados, no se tienen servicios o aplicaciones que
trabajen sobre servidores físicos, es decir que sobre estas plataformas se ha creado
una capa virtual, para los servidores Intel esta capa está sobre VMWare, y para la
línea Power la capa virtual se hace sobre PowerVM, entonces estos sistemas son
los que permiten virtualizar el hardware.
Entonces para la administración de VMWare se tienen varias consolas: una
que funciona como administrador de VMWare, y otra consola para la administración
123
de los chasis, esta consola es a nivel físico, además físicamente se trabaja con una
tecnología Blade, conformado por los Blade Center y los servidores Blade.
Adicionalmente se tiene una consola para la administración de la capa de
virtualización.
En la parte de PowerVM, se tiene equipos de diferente tecnología de grandes
tamaños, que son particionados y que se maneja y administran mediante una
consola HMC. Adicionalmente se tiene racks para Storage, es decir se tienen
equipos que tienen una gran cantidad de almacenamiento en discos que permiten
asignar porciones de estos discos a los equipos de acuerdo a los requerimientos
que se tengan dependiendo de la plataforma; este equipo también dispone de una
consola cliente para administración.
En cuanto a seguridad de estas consolas, se trabaja con autenticación de
usuario y contraseña, no se están manejando perfiles, los accesos a las consolas
están en el mismo segmento de red que los servidores (esto posiblemente debido
a que el firewall no puede manejar más de 2 segmentos de red), pero se está
tratando de segmentar la red para separar esto.
Nombre del Servicio: APACHE
Descripción técnica: Administración de servidores web Apache utilizados
sobre múltiples plataformas con soporte para JAVA y PHP.
Éste es un servidor de aplicaciones de Linux, pero no para aplicaciones
empresariales, sino que es más utilizado para aplicaciones web; se tienen
servidores Apache en Windows y en Linux, el de Windows está alojado en un servlet,
otro Apache se encuentra instalado en un Cast-Server (que es un servidor para
autenticación por medio de Single SignOn) y este se conecta al servidor de Lotus
para obtener los usuarios y contraseñas.
Nombre del Servicio: Internet Information Server
Descripción técnica: Internet Information Service o IIS es un servidor web y
un conjunto de servicios para el sistema operativo Microsoft Windows, integrado en
otros sistemas operativos de Microsoft destinados a ofrecer servicios. Sirve para
correr aplicaciones desarrolladas con Visual Studio.
Tiene el mismo esquema de seguridad que la página web porque se
encuentra publicado al exterior y está ubicado en una zona desmilitarizada. La
124
seguridad que generalmente se utiliza en las aplicaciones es una autenticación
básica.
Nombre del Servicio: Oracle App. Server
Descripción técnica: El Oracle App. Server 10 se encuentra en un servidor
0.34, en el cual se encuentran todas las aplicaciones desarrolladas, se encuentran
atadas a los servidores APEX (herramientas de desarrollo que son instaladas en
plataformas Oracle) que se instalan sobre bases de datos Oracle, por esto existen
APEX instalados sobre 10G, 11G, todos ellos tienen un componente que se llama
Listener para que puedan salir por el App Server. El tipo de seguridad que se le da
es únicamente el de autenticación para las personas que ingresen usando la IP
pública.
Nombre del Servicio: WEBLOGIC
Descripción técnica: Servidor de aplicaciones Java EE y también un servidor
web HTTP.
Es un producto de ORACLE. Este servidor maneja aplicaciones
empresariales, permite la creación de servidores virtuales para cada aplicación que
necesite, tanto para ambiente de producción como ambiente de pruebas. Maneja
certificados de seguridad para conectarse usando el protocolo HTTPS como
mecanismo de seguridad. También se pueden configurar las conexiones a las
diferentes bases de datos.
Nombre del servicio: Plataforma de Inteligencia de Negocios
Descripción técnica: Es un conjunto de herramientas que permiten elaborar
reportes estadísticos que permitan tomar decisiones; se compone de varias
herramientas, que permiten que la información contenida en las bases de datos o
archivos u otras fuentes de información se consolide y agrupe; tiene una estructura
en estrella a la que se conectan otra herramienta para poder obtener la información,
como tableros de mando, reportadores, etc.
La plataforma de Inteligencia de negocios está formada por: ETL que es el
transformador, el repositorio que está en una base de datos (ORACLE), y las
diferentes herramientas que permiten extraer la información para verlas en una
125
forma estadística. Sirve para ver información procesada orientada a la toma de
decisiones, y depende mucho de haber decidido cómo se quiere ver la información.
Nombre del servicio: Rational Composer
Descripción técnica: Herramienta para administración de requerimientos de
software durante el ciclo de desarrollo de software, está contenida dentro de una
plataforma Jazz Team Server, que es una plataforma más grande y permite manejar
documentación técnica o de desarrollo de proyectos de software.
Esta herramienta es adquirida y se está utilizando para administrar
documentos de requisitos de los proyectos, diagramas de casos de uso, diagramas
de arquitectura, registros para los diferentes desarrollos de software, para lo cual
se dispone de plantillas.
Cada desarrollador puede ingresar con sus credenciales y coloca los
documentos que correspondan. Sirve para que exista una comunicación entre el
requirente y el desarrollador; el requirente coloca un documento de requisito, con
lo que se inicia un flujo de aprobación, y si se aprueba se ve las personas que lo
aprobaron, teniendo una integración total del requisito.
Además, se está subiendo información técnica de los proyectos que ya se
han levantado.
Nombre del Servicio: Control Remoto
Descripción técnica: Administración de software que permite el control
remoto de equipos dentro de la intranet. Este servicio se brinda a través del software
Tivolli, que permite conectarse remotamente a los equipos de diferentes usuarios
en las diferentes delegaciones.
Nombre del Servicio: HELP DESK
Descripción técnica: Aplicación que permite atender los requerimientos a
todo el personal de la Institución.
Esta aplicación es bastante sencilla, y al igual que las demás aplicaciones
en la plataforma DOMINO viene con los diferentes niveles y roles predefinidos para
configurar la seguridad de la misma.
Principalmente se cuenta con un rol administrador asignado a todo el grupo
DTT y un rol Default que se asigna a los demás usuarios.
126
Activos de servicios
Nombre del servicio: Videoconferencia
Descripción técnica: Administración del servicio de comunicación visual y
colaboración,
utilizado
para
reuniones
y
capacitaciones
institucionales,
minimizando el factor de ubicación física de los participantes.
Se pueden hacer videoconferencias de dos formas, la primera es una
comunicación punto a punto, y la segunda es punto-multipunto, en las que
participan tres o más usuarios; actualmente se utiliza un equipo llamado Lifesize
que provee administración vía software y manejo por hardware.
Este dispositivo se encuentra directamente conectado a uno de los switches
de core, y permite la creación de múltiples salas, y cada sala puede tener hasta 16
conexiones, permitiendo tener varias sesiones simultáneas en diferentes salas.
Nombre del servicio: Noticiero Digital
Descripción técnica: Está concebido para tener un informativo híbrido de las
actividades que llevan a cabo cada uno de los órganos administrativos, para
usuarios internos y externos, es un servidor web que se usa para manejar
contenidos.
Para publicar este noticiero se necesita que el servidor de Internet esté
instalado en un equipo local; de esta misma forma se maneja este servicio en las
demás Delegaciones Regionales, mostrándose el mismo contenido y optimizando
el tráfico WAN; se pueden realizar cambios remotamente.
Nombre del Servicio: VPN
Descripción técnica: La VPN es un esquema de conexión segura, que se
puede hacer usando diferentes protocolos, para la SUPERTEL se hace mediante
uno de los firewalls perimetrales y con el protocolo IPSec, la autenticación de
usuario se hace a través de Active Directory.
Por lo general es usada por los directores y por los funcionarios que por su
trabajo deben estar movilizándose.
Solamente se tiene VPN client-to-side, es decir de la PC (por ejemplo, desde la
casa) a mi estación de trabajo (PC en la oficina).
127
Nombre del Servicio: Intranet
Descripción técnica: Es la red interna de la institución, por lo que debe estar
siempre levantado el servicio.
Nombre del Servicio: Página Web Institucional
Descripción técnica: Se realiza una administración del servicio web, es decir,
verificar que la página se encuentre funcionando; no se realiza una administración
de contenido ni de la forma en cómo se implementa la seguridad para este servicio,
de lo cual se encarga la Dirección de Imagen y Comunicación (DIC). Se realiza un
respaldo semanal de las bases de datos necesarias, no se tiene un respaldo
además del colocado en el mismo servidor, por lo que en caso de algún incidente
se puede perder la información. Como la página fue desarrollada en Jumla, tiene
algunos plugins que ayudan en la administración y una seguridad básica, por lo que
la mayor seguridad que se le puede dar es a nivel de infraestructura.
Nombre del Servicio: Internet
Descripción técnica: Este servicio se encuentra centralizado y es desde la
matriz donde se distribuye a nivel nacional. Se tienen dos salidas de Internet, donde
se tienen publicados varios servicios (web, correo, entre otros), todo esto se
controla a nivel de Firewall donde hay un filtro de contenido, el cual no es muy
eficiente ya que hay que depurar y mejorar para que su funcionamiento sea más
óptimo, actualmente el firewall solo tiene un funcionamiento mínimo.
Nombre del Servicio: Red SAN
Descripción técnica: Es la red que se utiliza para los storage, siendo esta red
de fibra óptica, la cual corre a 8Gb, permitiendo conectar los storage con los
servidores, para poder transportar toda la información de almacenamiento, un
servidor se conecta mediante canales de fibra al almacenamiento. En la actualidad
se tienen dos almacenamientos activos DS5300 IBM y el BNX Cisco y uno nuevo
store waze V7000 IBM. Todos estos confluyen a dos Switches Cisco para mantener
alta disponibilidad; los hosts tienen tarjetas especiales (tarjetas de canal de fibra),
las conexiones a estos almacenamientos son diferentes a las conexiones con
tarjetas de red, es decir por un lado se conecta a los almacenamientos (WWN -
128
Word Wide Name) y por otro lado se trabaja con el networking (TCP/IP). En el lado
del almacenamiento entran todos los servidores. La administración es muy parecida
a la que se hace con el networking, es decir, la administración que se da a un switch
(puertos, disponibilidad, licenciamiento, etc.), con la diferencia de que no pasa a
redes TCP/IP sino a redes de datos WWN.
Las licencias se adquieren por puertos, la SUPERTEL tienen licenciados 24
puertos por cada switch, si se necesitaran más puertos se deben comprar licencias
adicionales. Por otro lado, existen puertos de conexión a nivel de administración de
los storage, cada storage maneja puertos de conexión llamados storage partition,
este licenciamiento permite que un host se conecte a un almacenamiento, por lo
tanto, se debe administrar el almacenamiento y el switch, las vigencias de estas
licencias son perpetuas.
Se tiene alta disponibilidad en los switches, por esto todas las conexiones
son redundantes, si uno de los switches se ha quedado sin funcionamiento, no se
pierde la conexión con los equipos de almacenamiento, siendo esto una gran
ventaja ya que no se perdería la conexión con la información en situaciones críticas.
No se contaba con documentación que detalle las conexiones, por lo que se
llamó al proveedor para saber cuántos puertos están utilizados, cómo está hecha
la conexión, cuántas VLAN estaban creadas y qué equipos correspondían a estas
VLAN. Para hacer la configuración de las VLAN, se crean las mismas y luego se
asignan los equipos que pertenecen a cada una.
La administración está a cargo del área de Servidores con personal de la
DTT, pero con apoyo de los proveedores, porque no se tiene la suficiente
preparación para hacerlo en la DTT, así como también por falta de equipo humano
se prefiere llamar a los proveedores. La adquisición de la Red SAN no contemplaba
horas de soporte, solo se cuenta con garantía de los equipos.
Nombre del Servicio: Red Inalámbrica
Descripción técnica: Este servicio se brinda con el equipo Wireless LAN
Controler (WLC), que es un dispositivo CISCO que permite administrar de manera
centralizada y única los Access Points, permitiendo configurar dichos equipos y
además regular su potencia de funcionamiento para evitar interferencias entre ellos;
facilita también la configuración de varias subredes en todos los Access Points para
129
que los usuarios tengan movilidad total por el edificio y sus dependencias, para una
mejor administración se tiene configurada la asignación dinámica de direcciones IP
con el servidor DHCP. Si este equipo deja de funcionar se perdería en control de
ciertas características de los AP, pero no sería crítico ya que los AP quedan
configurados y funcionarían independientemente.
Nombre del Servicio: Comunicación Regional
Descripción técnica: Se dispone de una red WAN contratada a Punto Net, en
esta red se dispone de la conectividad de todas las regionales, siendo estas Costa,
Calderón, Sur, etc., en total siete, y también constan 30 estaciones de control del
sistema SACER. El sistema SACER hace mediciones del espectro radioeléctrico,
las cuales son enviadas a la matriz haciendo que esta información sea centralizada.
Esta WAN es una red IP MPLS, con las regionales se tienen levantadas, a más del
canal IP MPLS, VPN, es decir una red privada para la SUPERTEL (no existe tráfico
mezclado). Se tiene cifrado MD5 a nivel del canal de comunicaciones, es decir que
a más de la protección IP MPLS también se encripta la información dando más
seguridad al medio de comunicación.
Nombre del Servicio: Switching y Routing
Descripción técnica: Administración de infraestructura de LAN y WAN.
Administración de tarjetería de voz contra PSTN. Se tienen switches de piso que
forman la capa de acceso; a más del cableado horizontal se tiene el cableado
vertical limitado a la capacidad de transmisión de los dispositivos activos (switches).
Las máquinas que se tienen actualmente solo llegan a una velocidad de
100Mbps y los equipos de switching y routing con los que se cuenta tienen una
velocidad de 1Gbps, siendo esta mayor a lo que realmente se usa a nivel LAN.
Actualmente se cuenta con cableado de cobre y fibra para tener redundancia, pero
existe una problemática en los switches a donde llegan esos equipos, por esto se
tiene levantado un protocolo Spanning Tree, es decir un canal se encuentra activo
y otro se encuentra en reposo para que, si un enlace se cae, el otro subirá
inmediatamente.
Nombre del Servicio: NAC
130
Descripción técnica: Control de acceso para usuarios de servicios VPN.
Realiza un control de acceso para que las máquinas que se autentican en la VPN,
lo hagan después de haber cumplido con las condiciones que se hayan configurado
en el NAC. Se ha visto que se debe optimizar su uso. La autenticación se hace
mediante Active Directory. Se busca estandarizar elementos a utilizar como:
sistema operativo, parches, navegadores, por medio de políticas de seguridad.
Nombre del Servicio: Seguridad de Servidores
Descripción técnica: Administración de firewalls, seguridad en el segmento
de servidores institucionales, políticas de Active Directory, políticas de acceso,
cuentas de usuario y demás relacionadas. Cada componente tiene su nivel de
seguridad.
Los firewalls que existen protegen segmentos de red que necesitan de
seguridad, empezando por el sitio físico donde se encuentra el servidor, es decir
que este servidor esté conectado a una energía regulada, que el servidor no se
apague en caso de un corte de energía, que el servidor tenga buenas condiciones
ambientales, limpieza, además del mantenimiento en software para que no se
produzcan errores.
El mantenimiento lo hacen agentes externos (proveedores).
Nombre del Servicio: Seguridad Perimetral
Descripción técnica: Administración de seguridad perimetral. Incluyen los
accesos corporativos a Internet y el análisis de contenidos del tráfico desde y hacia
Internet.
Firewalls: Se tienen cuatro firewalls que actualmente trabajan de forma
independiente, colocados de modo que hay dos firewalls internos y dos externos,
ya que es una buena práctica tener un segmento de firewalls externo y otro
segmento interno. Los dos firewalls externos proveen la salida a Internet, de modo
que funcione cuando el primero se caiga, pero además el segundo firewall tiene
conexión a empresas externas que trabajan junto con la SUPERTEL para brindarles
algún servicio, como son: Otecel, Conecel, CNT, ECU911, entre otras, y que se
conoce como la Extranet. Cada firewall tiene una doble conexión hacia Internet, que
funcionan en modo activo-pasivo, además de la conexión entre los dos firewalls.
131
De forma adicional, en el primer firewall se conecta un módulo llamado CSC
(Content Security and Control Security Services), que hace un filtrado web, en
donde se administran algunas políticas de seguridad en cuanto al contenido al que
pueden acceder los usuarios de la red. Existen otros dos equipos que también filtra
el contenido web, conocido como Iron Port o WSA (Web Security Appliance), que
también se supone que están conectados en redundancia, estos equipos funcionan
si están conectados a la red de los usuarios, pero colocados después de los
firewalls y antes de llegar a los usuarios.
Se cuenta también con equipos ESA (Email Security Appliance) para filtrar
spam en el correo electrónico. Tanto el WSA como el ESA funcionan descargándose
diariamente actualizaciones del fabricante, en el caso del ESA bloquea páginas que
producen spam, mientras que el WSA bloquea páginas de acuerdo a categorías en
las que se han pre-clasificado las mismas, con esto se busca mejorar la
productividad. Estos equipos trabajan adquiriendo una licencia, por lo que el
momento que se acaba el periodo de validez de la licencia, dejarán de descargarse
las actualizaciones de contenido que deben bloquear y solamente funcionará con
los bloqueos que se tenían hasta ese momento.
Como administradores se hace la verificación de la descarga de
actualizaciones y también añadir excepciones a páginas que se necesite acceder,
pero con control de acceso de acuerdo a la IP del equipo de usuario, aunque
también se podría configurar para que trabaje integrado con Active Directory. Los
firewalls externos están filtrando el tráfico a nivel de Internet de las dependencias
externas. Ahora solo existe protección hasta la capa 4, las aplicaciones pueden
estar expuestas a que se tengan ataques.
Nombre del Servicio: Telefonía
Descripción técnica: Sistema de telefonía fija y móvil para comunicación de
voz, tanto en el edificio matriz como en las Intendencias Regionales y usuarios con
alta movilidad. Para la telefonía básica existe la central telefónica junto con los
teléfonos (extensiones para proveer el marcado).
Cada uno de los teléfonos serán registrados en la central mediante la MAC
del equipo y el código de equipo. Si el teléfono es inalámbrico, cada uno de los
Access Points tiene que tener el registro del teléfono para que cuando haya
132
desplazamiento la cobertura no se pierda. Toda conexión para una llamada tiene
que pasar por la central telefónica; una vez ya establecida la comunicación, la
conexión deja de pasar por la central telefónica, utilizando el Protocolo Real Time.
La comunicación entre teléfono y central tiene el protocolo SIP (tono de marcado,
tono de ocupado, pantalla, etc.). Para las llamadas hacia fuera de la institución, la
central interviene en toda la comunicación mediante un equipo Gateway de voz,
siendo este el Router. Todas las llamadas de las demás delegaciones o
intendencias se conectan a la matriz y salen hacia su destino.
Las centrales de las regionales están configuradas con el protocolo SRST
(Survivable Remote Site Telephony), si se llegara a perder la comunicación o caída
del enlace con la central (matriz), las demás centrales empezarán a funcionar como
centrales autónomas. Si la central telefónica no funcionara ya no se podrían hacer
llamadas, es decir que al momento de levantar el teléfono no existiría ni tono para
marcado. Esto se gestiona por número de licencias de telefonía.
Nombre del servicio: Cableado Estructurado
Descripción técnica: Administración de infraestructura de cableado
estructurado para el edificio matriz de la SUPERTEL.
Nombre del Servicio: DNS, DHCP, NTP
Descripción técnica: Administración de servidores de Nombres de dominio,
sincronización de tiempo y asignación dinámica de direccionamiento IP. DNS es un
servicio de resolución de nombres, donde se crean zonas e ingresan los hosts.
DHCP provee direccionamiento para los hosts, pero se espera mejorar en la
administración de este servicio, ya que algunas máquinas de usuario tienen
direccionamiento estático y otras tienen direccionamiento dinámico, por lo que se
busca administrar de forma uniforme la asignación del direccionamiento.
Nombre del Servicio: LDAP
Descripción técnica: LDAP es el nombre estándar que se maneja para el
protocolo con el que se crea, maneja, activa o elimina cuentas de usuarios, estas
funciones las hace Active Directory. Pero existen otros LDAP para otros sistemas,
por lo que se tiene usuarios internos y externos (que son los que hacen uso de
aplicaciones de la DTT y cuya información se almacena en repositorios). Está
133
instalado a nivel de todas las dependencias. Se busca mantener una única fuente
de identidad, lo que también se conoce como single sign-on, para que con la misma
autenticación se pueda acceder a varios servicios, pero se debe mencionar que se
tiene otro LDAP para el uso del correo electrónico interno (Institucional).
Nombre del servicio: Citrix
Descripción técnica: Citrix es un servicio de virtualización, por el cual se
pueden acceder a los servicios de la institución. Tiene dos servidores físicos que
permiten balancear la carga de trabajo y que están interconectados entre ellos, y
un tercer servidor virtual que es la interfaz web. En la interfaz web se publican una
cantidad de aplicaciones, a las cuales acceden determinados usuarios. Cuando el
usuario interactúa con el navegador (interfaz web), se muestra una interfaz para
autenticación, que se valida mediante Active Directory, una vez autenticado, el
usuario ve solamente las aplicaciones publicadas y autorizadas para su uso.
Cabe recalcar que en Citrix se pueden publicar aplicaciones que sean
multitarea, no multiusuario. El servidor empieza a ejecutar el programa y muestra
pantallas, es decir una virtualización, por lo que es más rápido y liviano. Una de los
mecanismos que Citrix usa para dar seguridad es la restricción de las aplicaciones
que son accesibles para cada usuario. Para la publicación de aplicaciones, se
ingresa a Citrix como administrador, en el servidor físico, previo a aprobación
respectiva, se procede a instalar dicho software con su procedimiento normal; una
vez instalado, el administrador se dirige a la consola de Citrix, donde se hace un
reconocimiento de los programas que se desean publicar, y se agrega a la base de
programas disponibles, en la consola se tiene la opción de seleccionar a quién se
va a publicar la aplicación, por lo que se conecta con Active Directory y se busca al
usuario; otra forma es que el administrador ingrese directamente al Active Directory
y se agrega al usuario en el grupo de publicaciones Citrix. Existe un servidor Citrix
de contingencia que se encuentra en la Delegación Regional Sur (Cuenca).
Nombre del servicio: Centro de cómputo
Descripción técnica: Administra la infraestructura instalada en los centros de
cómputo tanto principal como alterno. Se incluye controles de acceso, climatización,
sistema contra incendios, y demás.
134
Nombre del servicio: Centro de UPS
Descripción técnica: Administración de energía regulada.
Los activos descritos son los que permiten el desempeño correcto de las
responsabilidades a cargo de la DTT, por lo que con la gestión de los riesgos
presentes y la consideración de riesgos que puedan presentarse en el futuro, son
importantes para el cumplimiento de los objetivos que se ha propuesto la Dirección.
Al momento de realizar el análisis de riesgos en la Seguridad de la Información se
tomarán los servicios considerados más importantes, dentro de cada tipo de activo,
para mostrar cómo se realiza la evaluación del riesgo.
Identificación de las amenazas
Para realizar la identificación de las diferentes amenazas en los activos a
cargo de la DTT, se ha tomado en consideración la naturaleza del origen de las
amenazas, las cuales pueden clasificarse como ambientales (E) o humanas, y
dentro de las amenazas humanas, éstas pueden ser accidentales (A) o deliberadas
(D); esta clasificación de las amenazas se muestra en la Tabla 2.8. Identificación
de amenazas.
Identificación de los controles existente
En esta parte del desarrollo del sistema, se considera la identificación de
controles existentes mediante las descripciones técnicas de cada servicio a cargo
de la DTT; esta recopilación de información se realizó durante el periodo en el cual
se cumplieron actividades que implicaban la manipulación de los servicios,
adicional a las entrevistas realizadas a cada uno de los funcionarios a cargo de los
diferentes servicios.
Tabla 2.8. Identificación de amenazas [2, p. 42]
Tipo
Daño físico
Eventos naturales
Pérdida de los servicios
esenciales
Amenazas
Fuego
Destrucción del equipo o los medios
Fenómenos volcánicos
Fenómenos sísmicos
Fenómenos climáticos
Falla en el sistema de suministro de agua o de aire
acondicionado
Pérdida de suministro de energía
Origen
A,D, E
A, D, E
E
E
E
A, D
A, D, E
135
Perturbación debida a la
radiación
Compromiso de la
información
Fallas técnicas
Acciones no autorizadas
Compromiso de las
funciones
Falla en el equipo de telecomunicaciones
Falla en el sistema de alimentación ininterrumpida (UPS)
A, E
A, D, E
Radiación térmica
A, D, E
Espionaje remoto
Escucha encubierta
Hurto de medios o documentos
Hurto de equipo
Divulgación
Datos provenientes de fuentes no confiables
Manipulación con hardware
Manipulación con software
Detección de la ubicación
Falta de respaldos
Falla en la conexión entre servidores
Falla del equipo
Mal funcionamiento del equipo
Saturación del sistema de información
Mal funcionamiento del software
Incumplimiento en el mantenimiento del sistema de
información
Uso no autorizado del equipo
Uso de software falso, copiado o desactualizado
Corrupción de los datos
Procesamiento ilegal de los datos
Error en el uso
Abuso de derechos
Falsificación de derechos
Negación de acciones
Incumplimiento en la disponibilidad del personal
D
D
D
D
A, D
A, D
D
A, D
D
A, D
A,E
A
A
A, D
A
A, D
D
A, D
D
D
A
A,D
D
D
A, D, E
En el periodo en el que se constató el funcionamiento de la DTT, se pudo
observar que si existen prácticas de seguridad, relacionadas con ciertos controles
descritos en la Norma NTE INEN-ISO/IEC 27002:2009, por lo que se puede
considerar que se cumple con algunos controles de esta norma, los cuales se
describen en la sección 3.2.5 (Identificación de los controles de la Norma NTE
INEN-ISO/IEC 27002:2009 para la DTT), para una mejor relación con el tratamiento
de los riesgos en la seguridad de la información.
Identificación de las vulnerabilidades
La información acerca de los diferentes servicios de la Dirección se obtuvo
de las entrevistas realizadas a cada uno de los funcionarios a cargo de los
diferentes servicios, y de lo que se pudo constatar acerca del funcionamiento de los
mismos, lo que permitió que se puedan determinar las diferentes vulnerabilidades
que pueden presentarse en los servicios a cargo de la DTT, considerando los tipos
de amenazas a los que pertenecen. Estas vulnerabilidades se presentan en la Tabla
2.9.
136
Identificación de las consecuencias
Como se muestra en la Tabla 2.9, donde se detallan las vulnerabilidades que
pueden presentarse en los servicios a cargo de la DTT, también se detallan las
consecuencias para estas vulnerabilidades; estas consecuencias también toman el
nombre de impactos causados por las vulnerabilidades en la seguridad de la
información.
2.4.2.1.2. Estimación del riesgo
Metodologías para la estimación del riesgo
Las metodologías para la estimación del riesgo pueden ser cuantitativas,
cualitativas o una combinación de las anteriores, como se describe en la Norma
27005 [2].
Para este análisis se emplea una metodología cualitativa, que permite ver
de forma menos compleja el nivel de los riesgos en la seguridad de la información,
haciendo que sea de fácil comprensión para el personal pertinente.
Valoración de las consecuencias
Se entiende como valoración de las consecuencias a la valoración de los impactos
que se tienen como resultado del aprovechamiento de una vulnerabilidad, es decir
de la ocurrencia de una amenaza.
Para la valoración de las diferentes vulnerabilidades e impactos de los
servicios de la DTT, se han considerado varios incidentes en la seguridad de la
información en base a los que se han calificado cualitativamente los riesgos
encontrados, esta información se presenta en las diferentes tablas de cada servicio.
Valoración de los incidentes
Esta valoración se la realiza en base a entrevistas realizadas a cada
funcionario a cargo de los servicios existentes en la DTT, y a las experiencias
adquiridas en el periodo de estadía en esta Dirección, en donde se constató varios
escenarios del incidente que causaban que ciertos servicios presenten
vulnerabilidades. No se otorga ningún valor cualitativo o cuantitativo para los
incidentes, pero se toman en cuenta para determinar un valor en la probabilidad de
ocurrencia de una vulnerabilidad y a su impacto de acuerdo al tiempo sin
funcionamiento de un servicio y la pérdida de información que pueda producirse.
137
Nivel de estimación del riesgo
Para realizar la estimación del riesgo se han asignado valores a la
probabilidad de ocurrencia de una amenaza y a los impactos que se pueden
producir en cada uno de los servicios. Se ha utilizado un enfoque para la estimación
del riesgo de la seguridad de la información en base al ANEXO E.2.2: Clasificación
de las amenazas de [2] mediante las medidas del riesgo, en donde se realiza una
descripción de la amenaza. Se evalúa la probabilidad de ocurrencia de una
amenaza y el impacto que puede producirse en cada servicio; la valoración se
realiza mediante los criterios establecidos en la sección 2.4.1.1 (Criterios básicos).
Luego se procede a calcular la medida del riesgo multiplicando la
probabilidad de ocurrencia de una amenaza con el impacto, para finalmente realizar
la clasificación de las amenazas de acuerdo al criterio de evaluación de riesgo que
establece el nivel del riesgo.
Accidentes de los
funcionarios al producirse
el evento.
Ecuador se encuentra ubicado en un área
volcánica con riesgos de erupción, por lo
que los funcionarios deben saber cómo
reaccionar ante estos eventos.
No se ha realizado una capacitación a los
funcionarios sobre planes de evacuación en
caso de que se produzcan sismos.
Climáticos
Sísmicos
Volcánicos
Desestabilización de
la red de energía
eléctrica en el sector
del edificio matriz
Filtración de agua en
la estructura del
edificio
Accidentes de los
funcionarios al producirse
el evento.
Existen equipos que ya pasaron su tiempo
de vida útil y no se ha gestionado
oportunamente su renovación
No realizar la
renovación oportuna
de equipos
Falta de capacitación
del personal sobre
cómo reaccionar ante
una erupción
volcánica
Falta de capacitación
del personal sobre
cómo reaccionar ante
un evento sísmico
No asegurar
correctamente la
ubicación de los
equipos
La ubicación de algunos equipos, tanto de
comunicaciones como del área de trabajo,
puede no ser la adecuada o no estar
asegurada.
Al presentarse lluvias fuertes o de larga
duración se pueden producir filtraciones en
la estructura del edificio, por la existencia de
fallas en la misma.
La desestabilización de la red de energía
eléctrica se puede producir a causa de
lluvias fuertes con presencia de tormentas
eléctricas.
El equipo se vuelve
obsoleto
No se realiza el mantenimiento adecuado
del dispositivo biométrico para control de
acceso colocado en la entrada al Centro de
Cómputo
Mal mantenimiento
del sistema de Control
de acceso al Centro
de Cómputo
Destrucción
del equipo
No se ha planificado un mantenimiento
periódico del Sistema contra Incendios
Fuego
Los equipos sensibles a
variaciones de voltaje
sufren daños.
Daño en los equipos
Daños físicos en los
equipos
Mal funcionamiento del
dispositivo biométrico del
sistema de Control de
acceso al Centro de
Cómputo
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
No se realiza un
mantenimiento
periódico del Sistema
Contra incendios
Impacto
Descripción
Vulnerabilidad
Amenaza
Se podrían producir variaciones de voltaje que
provoquen daños en los equipos que
interrumpan el funcionamiento de ciertos
servicios
Los equipos sufren daños al entrar en contacto
con el agua.
En caso de producirse un sismo, algunos
equipos pueden sufrir daños físicos.
Las personas que se encuentren en el edificio
pueden sufrir accidentes al no saber cómo
deben actuar en caso de emergencia.
Las personas que se encuentren en el edificio
pueden sufrir accidentes al no saber cómo
deben actuar en caso de emergencia.
Destrucción de la edificación y pérdida de la
información de los equipos de networking, de
almacenamiento y equipos del área de trabajo,
debido a que los respaldos de la información se
guardan en el mismo Centro de Cómputo
principal
Al no tener una correcta verificación del
personal que ingresa al Centro de Cómputo se
podrían manipular los equipos de forma
inadecuada alterando el funcionamiento de la
red
El equipo no cumple con las características y
funciones necesarias para que los servicios
trabajen correctamente
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
138
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el
equipo de
telecomunicaciones
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
No se ha planificado la renovación oportuna
del banco de baterías, ni se realiza un
mantenimiento continuo del sistema de
UPS.
Falla del sistema de
Alimentación
ininterrumpida (UPS)
El equipo no trabaja
adecuadamente
Existen equipos que no pueden ser
administrados debido a que no se cuenta
con un registro de configuraciones
anteriores.
Conexión deficiente
de los cables
Monitoreo inadecuado de
los enlaces WAN
Mal funcionamiento de
los servicios de la red
No se ha planificado un mantenimiento del
cableado estructurado, debido a que no se
utilizan cables en correcto estado y no se
tiene el correcto etiquetado, que permite
identificar los puntos utilizados en la red.
Al producirse cambios de personal, no se
han dejado debidamente documentados
algunos procedimientos que se realizan
para el monitoreo del estado de los
enlaces.
Mal funcionamiento del
sistema de alimentación
ininterrumpida (UPS)
En caso de fallas de servicio de energía
eléctrica no se tiene una correcta
convergencia entre el sistema eléctrico y el
sistema de alimentación ininterrumpida
(UPS)
No revisar
periódicamente la
conexión entre el
sistema de UPS y la
red de energía
eléctrica en el edificio.
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Los equipos sensibles a
variaciones de voltaje
sufren daños.
No se tiene una correcta instalación del
Sistema Eléctrico en el edificio, debido a
crecimiento de la red energética no
planificado.
No tener correctas
instalaciones
eléctricas
Pérdida de
suministro de
energía
Daño de los equipos en
el Centro de Cómputo
No se realiza mantenimiento de los
Sistemas de Aire Acondicionado y ni la
renovación oportuna de equipos
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Impacto
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Descripción
Vulnerabilidad
Amenaza
Los equipos suspenden su funcionamiento
debido a la falta de suministro de energía
eléctrica.
Al no configurar correctamente varios
parámetros de los equipos, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas.
No se puede acceder a la información o tomar
medidas correctivas en tiempos óptimos.
Se puede producir un uso deficiente del enlace
o no se tenga conectividad a una parte de la
red.
Los UPS no entrar en funcionamiento
inmediatamente después de que se produzca
un corte de energía eléctrica.
Con el aumento del número de funcionarios en
el edificio se han incrementado los puntos de
tomas eléctricas sin una correcta planificación e
instalación.
Los equipos suspenden su funcionamiento
como prevención al sobrecalentamiento por lo
que dejan de funcionar los servicios
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
139
Escucha
encubierta
Espionaje
remoto
Amenaza
No se han planificado procedimientos para
realizar el monitoreo del estado de los
enlaces WAN.
La información contenida en Bases de
Datos no utiliza algoritmos de cifrado
No encriptar la
información
No se tiene un procedimiento adecuado
para renovación y manejo de contraseñas.
Robo y modificación de
información
Robo de información
Al no encriptar la información un atacante que
se encuentra interviniendo en los enlaces
puede ver la información en texto claro,
almacenarla y llegar hacer mal uso de la misma
Se puede acceder a la información que se
transmite por los enlaces de la SUPERTEL
debido a que no se tienen mecanismos de
protección de la información que se está
enviando. (Ej. cifrado)
Los administradores de los servidores manejan
las contraseñas de administración de los
mismos, que en caso de que se difundan estas
contraseñas, se podría manipular la
información contenida de forma no autorizada.
Para las estaciones de trabajo, los funcionarios
no tienen una administración adecuada de sus
contraseñas.
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Al no realizar mantenimientos de los enlaces se
pueden producir ataques en donde se acceda a
la información de forma no autorizada y
pudiendo hacer mal uso de la misma
Robo o pérdida de la
información
Al producirse cambios de personal, no se
han dejado debidamente documentados
algunos procedimientos que se realizan
para el monitoreo del estado de los
enlaces.
El atacante obtiene información de forma no
autorizada, y puede almacenarla para usarla
inadecuadamente en el futuro
Robo o Modificación de
la información ingresada
Los firewalls no trabajan
adecuadamente
Al no configurar correctamente varios
parámetros de los firewalls, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas
El atacante obtiene información de forma no
autorizada, realizando modificaciones en los
sistemas a los que accede y provocando
pérdidas de información
Descripción
Usuarios no autorizados podrían acceder al
contenido del servidor SFTP, y saturarlo con
información basura
Algunos parámetros de configuración de los
firewalls no pueden ser administrador
debido a que no se cuenta con un registro
de configuraciones anteriores
Robo o modificación de
la información
Un atacante puede intentar suplantar la
página Web de la Institución, o acceder a
información muy sensible al no usar un
protocolo HTTPS (HyperText Transfer
Protocol Secure)
Falta de certificado de
seguridad para las
Páginas Web
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No monitorear
adecuadamente los
accesos al servidor
SFTP de forma
externa
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Impacto
Descripción
Vulnerabilidad
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
140
Datos
provenientes
de fuentes no
confiables
Divulgación
Hurto de
equipo
Mal manejo de la
compartición de la
información
No deshabilitar
puertos no utilizados
en equipos de
conectividad
Falta de control de
acceso a las carpetas
compartidas
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Administración
inadecuada de los
equipos del área de
trabajo disponibles
para su uso
Existen carpetas compartidas para las
cuales se han configurado permisos de
acceso a usuarios que no deberían acceder
a las mismas.
No se aplican políticas para restringir la
compartición de archivos o documentos, de
acuerdo a la importancia de los mismos
Acceso no autorizado a
la información en los
equipos de la red
Acceso indebido a las
carpetas compartidas por
parte de usuarios no
autorizados
Divulgación no
autorizada de
información
No se tiene un procedimiento adecuado
para renovación y manejo de contraseñas.
No se han definido procedimientos para
bloqueo de puertos no utilizados en los
equipos de conectividad.
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Error en la disponibilidad
de los equipos
Acceso no autorizado a
ciertos documentos
Los firewalls no trabajan
adecuadamente
Algunos parámetros de configuración de los
firewalls no pueden ser administrador
debido a que no se cuenta con un registro
de configuraciones anteriores
Escucha
encubierta
No se aplican políticas para restringir la
compartición de archivos o documentos, de
acuerdo a la importancia de los mismos
No se lleva un registro permanente de los
equipos para el área de trabajo que son
prestados a diferentes funcionarios por
parte de la DTT, ni una correcta
planificación para la renovación de estos
equipos.
Acceso no autorizado al
servidor SFTP
Existen usuarios que tienen permisos para
acceder al servidor SFTP sin que se
justifiquen estos permisos.
Asignación errada de
derechos de acceso al
servidor SFTP
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Mal manejo de la
compartición de la
información
Impacto
Descripción
Vulnerabilidad
Amenaza
Los administradores de los servidores manejan
las contraseñas de administración de los
mismos, que en caso de que se difundan estas
contraseñas, se podría manipular la
información contenida de forma no autorizada.
Para las estaciones de trabajo, los funcionarios
no tienen una administración adecuada de sus
contraseñas.
Existen fallas en la asignación de derechos de
acceso que permiten que usuarios no
autorizados accedan a información que no les
compete.
Los funcionarios pueden acceder a información
para la cual no están autorizados y divulgarla
indebidamente.
Un atacante puede ingresar información basura
usando puertos que no se han bloqueado para
acceder a los servidores o a las
configuraciones de los equipos de conectividad
Para la reutilización de equipos o asignación de
equipos nuevos a funcionarios, no se tiene una
correcta administración de la información de los
equipos disponibles
Se podría acceder al servidor de forma no
autorizada y copiar, modificar o eliminar la
información que contiene
Al no configurar correctamente varios
parámetros de los firewalls, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas
Los funcionarios podrían ingresar a archivos
para los cuales no están autorizados y hacer
mal uso de la información.
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
141
Manipulación
con software
Manipulación
con hardware
Datos
provenientes
de fuentes no
confiables
Amenaza
Al tener servidores que contienen varias
aplicaciones, se necesitan varios
administradores que pueden hacer
modificaciones no intencionales.
No tener soporte por
parte del proveedor
del software
Tener administradores
de segundo nivel que
puedan hacer
cambios no
autorizados
El software no funciona
correctamente
Algunas aplicaciones necesitan ser
configuradas y administradas por el
proveedor de software para realizar
modificaciones, considerando además
documentar todos los procedimientos
realizados. En el caso de los sistemas más
antiguos no se cuenta con este soporte.
Modificación o
Eliminación de
Información en la Base
de Datos o el sistema
Ingreso de usuarios no
autorizados al sistema
Manipulación no
autorizada de los equipos
expuestos
No se han definido procedimientos para el
mantenimiento de equipos de conectividad
fuera del Centro de Cómputo
No se hace una
verificación periódica
de la seguridad de los
switches de acceso
en cada piso
Autorizar la administración de un software a
un funcionario que no está capacitado
Modificación de la
información
Las aplicaciones que salen por la Web
pueden ser suplantadas o accedidas por un
atacante, pudiendo introducir información
basura
Falta de certificado de
seguridad para las
Páginas Web
Asignación errada de
derechos de acceso
El equipo no puede
conectarse a la red
inalámbrica
Para que los equipos accedan a las redes
inalámbricas y telefonía IP se debe registrar
la dirección MAC de los mismos, pero
actualmente no se tiene una correcta
administración de estos registros.
Mala administración
de los registros de
direcciones MAC de
los equipos para
acceso a la red
inalámbrica y telefonía
IP
Impacto
Descripción
Vulnerabilidad
Existen usuarios que tienen permisos para
acceder a ciertos servidores sin que se
justifiquen estos permisos, pudiendo introducir
datos no confiables a los sistemas contenidos
en los servidores
Al no tener una correcta administración de los
niveles de acceso, ciertos funcionarios pueden
acceder a ciertas funcionalidades de
administración de los equipos, que pueden
provocar modificaciones accidentales o
intencionales de la información
Ciertas características de los sistemas no
funcionan correctamente debido a que no se
instalan las actualizaciones necesarias, o no se
han realizado las configuraciones correctas
para sistemas o equipos
Al no verificar que los equipos de conectividad
fuera del Centro de Cómputo estén protegidos,
éstos pueden ser manipulados de forma
inadecuada, causando daños en la red.
El atacante obtiene información de forma no
autorizada, realizando modificaciones en los
sistemas a los que accede y provocando
pérdidas de información
Al no tener una correcta administración de las
direcciones MAC de los equipos, se dificulta
que acceda a los servicios de red inalámbrica y
telefonía IP.
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
142
Falta de
respaldos
Manipulación
con software
Amenaza
No se tiene una planificación oportuna para
el proceso de renovación del dominio de la
página web institucional
Al tener aplicaciones que trabajan con
grandes cantidades de información podrían
no trabajar correctamente o saturarse.
No se ha planificado mantenimiento
preventivo periódico para las bases de
datos
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Falta de
mantenimiento de las
bases de datos
Daño en la Base de
Datos
Se consumen todos los
recursos de
procesamiento de los
equipos
Se podría producir la
suplantación de la página
web
Los firewalls no trabajan
adecuadamente
Algunos parámetros de configuración de los
firewalls no pueden ser administrador
debido a que no se cuenta con un registro
de configuraciones anteriores
No realizar la
renovación oportuna
del dominio de la
página web
Mala disponibilidad del
servicio
No se han planificado monitoreos periódicos
del funcionamiento adecuado de los
servicios y sistemas a cargo de la DTT.
Distribución incorrecta de
información para
usuarios
No se verifica el estado de los enlaces con
las bases de datos, ya que existen tanto
para la información contenida en las
carpetas compartidas, como la de
aplicaciones que muestran información
estadística que debe ser actualizada
constantemente
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
No realizar un
monitoreo periódico
de la disponibilidad de
los servicios y
sistemas de la DTT
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Falla de autenticación de
los usuarios mediante
Active Directory
Se puede modificar el acceso a una cuenta
de un usuario de forma accidental o
intencional y no se realiza la verificación de
eliminación de cuentas no utilizadas
Administración
inadecuada de las
cuentas de usuario en
Active Directory
Impacto
Descripción
Vulnerabilidad
Existen sistemas en donde se ingresa gran
cantidad de información y que al ser procesada
agota los recursos del equipo afectando al
funcionamiento de otros servicios.
Se podrían producir daños en la base de datos
debido al mal funcionamiento del software que
la administra, o daños en los equipos que las
contiene
Al perder el dominio asignado a la página web
de la Institución, un atacante podría aprovechar
la utilización de este nombre y engañar a los
usuarios externos para que ingresen
información
Al no configurar correctamente varios
parámetros de los firewalls, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas
Podrían presentarse problemas tanto en la red
como en los propios servicios y sistemas que
impiden el funcionamiento de los mismos, por
lo que no tienen buena disponibilidad
La única forma de acceder a los recursos de la
red institucional es a través de la autenticación
de cada usuario mediante el servicio LDAP, en
caso de que se tenga algún problema de la
configuración de la cuenta de un usuario, éste
no podrá acceder a la red
La información colocada en la página Web de
la SUPERTEL es pública, por lo cual debería
ser constantemente verificada y administrada,
para que las personas que requieran de esta
información cuenten con información correcta.
Para el caso de las carpetas compartidas, los
funcionarios requieren que los archivos siempre
estén actualizados.
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
143
Falla en la
conexión entre
servidores
Falta de
respaldos
Amenaza
Se pueden producir problemas en los enlaces
hacia los servidores que impidan acceder a los
diferentes servicios por falta de monitoreo.
Puede presentarse algún problema en la red
que impida la conexión con los servidores
en las diferentes aplicaciones.
No se realiza un
monitoreo periódico
de los enlaces de la
red institucional (LAN)
Pérdida de conexión con
los servidores (de bases
de datos, carpetas
compartidas, correo
electrónico, entre otros)
La información podrían necesitar mayor
capacidad de almacenamiento en el sistema
de backups que la planificada.
No se dimensione
correctamente el
espacio necesario
para respaldar la
información
No todos los desarrollos de aplicativos o
sistemas son documentados es su totalidad,
haciendo que no se tenga certeza de alguna
modificación importante que se haya realizado,
dificultando futuras modificaciones.
Pérdida parcial de la
información
El software no cumple
correctamente con sus
funcionalidades
No se han establecido políticas de respaldo
de los sistemas desarrollados en la DTT,
por lo que muchos sistemas no cuentan con
la documentación necesaria para su
administración o modificaciones.
No tener respaldado
el código fuente del
desarrollo de software
dentro de la DTT
Debido al mal funcionamiento de los archivos
de respaldo, la información que contenían los
mismos podría perderse
Se realizan respaldos de los servicios
considerados críticos y no de todos los
servicios, debido a que no se tiene suficiente
espacio de almacenamiento para toda la
información que se genera, por lo que se podría
perder información de los servicios menos
críticos
En caso de que se deban reiniciar los equipos,
se tendrían que realizar nuevamente las
configuraciones en los mismos, interfiriendo en
el desempeño de la red y prestación de los
servicios
No ha sido posible realizar el traslado de la
información respaldada los equipos del Centro
de Cómputo principal hacia otra localidad, por
lo que se tiene un alto riesgo de pérdida de la
información respaldada
Descripción
Existen sistemas a los que se ingresa gran
cantidad de información posiblemente mayor a
la planificada, por lo cual el espacio asignado
para almacenamiento de esta información no
es suficiente, y podría producirse la pérdida de
información de estos sistemas.
Pérdida de la información
de los archivos de
respaldos
Pérdida de información
de la configuración de los
equipos
Los archivos de respaldos deberían
almacenarse en bancos de cintas físicas
(VTL) en un espacio fuera del edificio matriz
Las configuraciones realizadas en los
equipos pueden ser almacenadas en
archivos que deberían ser respaldados
No se tiene una planificación para realizar el
respaldo de la información periódicamente
No respaldar la
información generada
de forma periódica
No respaldar la
información de
configuración de los
servidores y equipos
de conectividad
Tener archivos de
respaldos en los
mismos equipos del
Centro de Cómputo
principal
Pérdida de la información
contenida en los archivos
de respaldo
Los archivos administrados por el sistema
de backups podrían no funcionar
correctamente
Falla de los archivos
de respaldo
Pérdida de la información
generada en los servicios
Impacto
Descripción
Vulnerabilidad
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
144
Mal
funcionamiento
del equipo
Falla del
equipo
Falla en la
conexión entre
servidores
Amenaza
No se han planificado procedimientos para
realizar el monitoreo del estado de los
enlaces WAN.
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Daño del equipo
Daño de los equipos del
Centro de Cómputo
El equipo no trabaja
adecuadamente
Error en la disponibilidad
de los equipos
No se planifica realizar un mantenimiento
periódico de los equipos para el área de
trabajo
Se tiene que realizar contrataciones no
planificadas para realizar mantenimiento de
equipos en el Centro de Cómputo que ya no
tienen garantía
Existen equipos que no pueden ser
administrados debido a que no se cuenta
con un registro de configuraciones
anteriores.
No se lleva un registro permanente de los
equipos para el área de trabajo que son
prestados a diferentes funcionarios por
parte de la DTT, ni una correcta
planificación para la renovación de estos
equipos.
No se planifica realizar un mantenimiento
periódico de los equipos para el área de
trabajo
Administración
inadecuada de los
equipos del área de
trabajo disponibles
para su uso
No realizar
mantenimiento
preventivo de los
equipos del área de
trabajo
Daño del equipo
Mala disponibilidad del
servicio
Falla en la conexión a los
servidores de réplica
Impacto
No se han planificado monitoreos periódicos
del funcionamiento adecuado de los
servicios y sistemas a cargo de la DTT.
No realizar un
monitoreo periódico
de la disponibilidad de
los servicios y
sistemas de la DTT
No realizar
mantenimiento
preventivo de los
equipos del área de
trabajo
No realizar
mantenimiento técnico
de equipos en el
Centro de Cómputo
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Descripción
Vulnerabilidad
Muchos de los equipos del área de trabajo
presentan fallas por falta de mantenimiento, lo
que puede producir que el equipo se dañe.
Para la reutilización de equipos o asignación de
equipos nuevos a funcionarios, no se tiene una
correcta administración de la información de los
equipos disponibles
Al no configurar correctamente varios
parámetros de los equipos, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas.
Los equipos del Centro de Cómputo que no
cuentan con garantía, podrían presentan fallas
por falta de mantenimiento, lo que puede
producir que el equipo se dañe.
Muchos de los equipos del área de trabajo
presentan fallas por falta de mantenimiento, lo
que puede producir que el equipo se dañe.
Podrían presentarse problemas tanto en la red
como en los propios servicios y sistemas que
impiden el funcionamiento de los mismos, por
lo que no tienen buena disponibilidad
En caso de que falle el servidor al cual está
conectado el servicio o la aplicación, y no se
puede establecer la conexión al servidor de
réplica de ese servicio o aplicativo, no se podrá
hacer uso de los mismos.
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
145
Mal
funcionamiento
del software
Falta de
mantenimiento de las
bases de datos
Falta de planificación
sobre la capacidad de
procesamiento de la
información
No se ha planificado
una renovación
oportuna de licencias
(Antivirus, Windows,
etc.)
No tener respaldado
el código fuente del
desarrollo de software
dentro de la DTT
No se ha planificado mantenimiento
preventivo periódico para las bases de
datos
Daño en la Base de
Datos
El software se vuelve
obsoleto
Algunas aplicaciones no pueden modificarse
debido a limitaciones en las características
de la versión del software que se utiliza
El software no cumple
correctamente con sus
funcionalidades
No se han establecido políticas de respaldo
de los sistemas desarrollados en la DTT,
por lo que muchos sistemas no cuentan con
la documentación necesaria para su
administración o modificaciones.
Se consumen todos los
recursos de
procesamiento de los
equipos
Mala disponibilidad del
servicio
No se han planificado monitoreos periódicos
del funcionamiento adecuado de los
servicios y sistemas a cargo de la DTT.
Al tener aplicaciones que trabajan con
grandes cantidades de información podrían
no trabajar correctamente o saturarse.
Se consumen todos los
recursos de
procesamiento de los
equipos
Falta de capacidad de
almacenamiento en los
servidores
Daño de los equipos del
Centro de Cómputo
Impacto
Al tener aplicaciones que trabajan con
grandes cantidades de información podrían
no trabajar correctamente o saturarse.
No se tiene una planificación adecuada de
la capacidad de almacenamiento, tanto para
sistemas en desarrollo como para el
crecimiento de sistemas en funcionamiento.
Falta de planificación
de la capacidad de
almacenamiento en
los servidores
Falta de planificación
sobre la capacidad de
procesamiento de la
información
No realizar un
monitoreo periódico
de la disponibilidad de
los servicios y
sistemas de la DTT
Se tiene que realizar contrataciones no
planificadas para realizar mantenimiento de
equipos en el Centro de Cómputo que ya no
tienen garantía
No realizar
mantenimiento técnico
de equipos en el
Centro de Cómputo
Mal
funcionamiento
del equipo
Saturación del
sistema de
información
Descripción
Vulnerabilidad
Amenaza
Se podrían producir daños en la base de datos
debido al mal funcionamiento del software que
la administra, o daños en los equipos que las
contiene
Al no actualizar la licencia del software, se
pueden presentar limitaciones en sus
funciones, impidiendo su utilización
No todos los desarrollos de aplicativos o
sistemas son documentados es su totalidad,
haciendo que no se tenga certeza de alguna
modificación importante que se haya realizado,
dificultando futuras modificaciones.
Existen sistemas en donde se ingresa gran
cantidad de información y que al ser procesada
agota los recursos del equipo afectando al
funcionamiento de otros servicios.
Podrían presentarse problemas tanto en la red
como en los propios servicios y sistemas que
impiden el funcionamiento de los mismos, por
lo que no tienen buena disponibilidad
Los equipos del Centro de Cómputo que no
cuentan con garantía, podrían presentan fallas
por falta de mantenimiento, lo que puede
producir que el equipo se dañe.
Actualmente no se cuenta con la capacidad
suficiente para almacenar la información de
todos los servicios de la DTT, por lo que no se
podría almacenar la información nueva que
vaya ingresando a los servidores.
Existen sistemas en donde se ingresa gran
cantidad de información y que al ser procesada
agota los recursos del equipo afectando al
funcionamiento de otros servicios.
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
146
Uso del
software falso,
copiado o
desactualizado
Incumplimiento
en el
mantenimiento
del sistema de
información
Distribución incorrecta de
información para
usuarios
Se podría producir la
suplantación de la página
web
Limitación en la
instalación de
herramientas
No se verifica el estado de los enlaces con
las bases de datos, ya que existen tanto
para la información contenida en las
carpetas compartidas, como la de
aplicaciones que muestran información
estadística que debe ser actualizada
constantemente
No se ha revisado la planificación que
defina el tipo de direccionamiento IP que se
utilizará en la red (estático, dinámico y
VLAN)
Al producirse cambios de personal, no se
han dejado debidamente documentados
algunos procedimientos que se realizan
para el monitoreo del estado de los
enlaces.
No se tiene una planificación oportuna para
el proceso de renovación del dominio de la
página web institucional
Existe software con un número de licencias
limitadas que no cuenta con un registro de
las licencias ya utilizadas, así como no se
tiene un inventario actualizado del software
disponible para la Institución.
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Falta de
mantenimiento del
direccionamiento IP
(DHCP)
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
No realizar la
renovación oportuna
del dominio de la
página web
No actualizar el
inventario de software
Daño del equipo
No se planifica realizar un mantenimiento
periódico de los equipos para el área de
trabajo
No realizar
mantenimiento
preventivo de los
equipos del área de
trabajo
Monitoreo inadecuado de
los enlaces WAN
Funcionamiento
incorrecto del DHCP
Generación de
información incorrecta
Podrían presentarse problemas no previstos
en el funcionamiento de ciertas aplicaciones
nuevas en el momento que entran en
funcionamiento
Software nuevo o
inmaduro
Mal
funcionamiento
del software
Impacto
Descripción
Vulnerabilidad
Amenaza
No se tiene datos exactos sobre la
disponibilidad del software para nuevas
instalaciones del mismo
Al perder el dominio asignado a la página web
de la Institución, un atacante podría aprovechar
la utilización de este nombre y engañar a los
usuarios externos para que ingresen
información
No se puede acceder a la información o tomar
medidas correctivas en tiempos óptimos.
La información colocada en la página Web de
la SUPERTEL es pública, por lo cual debería
ser constantemente verificada y administrada,
para que las personas que requieran de esta
información cuenten con información correcta.
Para el caso de las carpetas compartidas, los
funcionarios requieren que los archivos siempre
estén actualizados.
No se ha administrado ni registrado el
direccionamiento IP con el que se trabaja en el
edificio matriz por lo que se presentan
problemas como la duplicación de direcciones
IP
Muchos de los equipos del área de trabajo
presentan fallas por falta de mantenimiento, lo
que puede producir que el equipo se dañe.
Si un sistema nuevo entra en funcionamiento y
se presentan errores, la información que este
sistema genere puede ser incorrecta,
comprometiendo dicha información
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
147
El software no cumple
correctamente con sus
funcionalidades
Distribución incorrecta de
información para
usuarios
Existen equipos que no pueden ser
administrados debido a que no se cuenta
con un registro de configuraciones
anteriores.
No se han establecido políticas de respaldo
de los sistemas desarrollados en la DTT,
por lo que muchos sistemas no cuentan con
la documentación necesaria para su
administración o modificaciones.
No se verifica el estado de los enlaces con
las bases de datos, ya que existen tanto
para la información contenida en las
carpetas compartidas, como la de
aplicaciones que muestran información
estadística que debe ser actualizada
constantemente
No se tiene un procedimiento adecuado
para renovación y manejo de contraseñas.
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No tener respaldado
el código fuente del
desarrollo de software
dentro de la DTT
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Error en el uso
El equipo no trabaja
adecuadamente
No se han planificado procedimientos para
realizar el monitoreo del estado de los
enlaces WAN.
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Procesamiento
ilegal de los
datos
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Robo de información
Daño en la Base de
Datos
No se ha planificado mantenimiento
preventivo periódico para las bases de
datos
Falta de
mantenimiento de las
bases de datos
Impacto
Uso del
software falso,
copiado o
desactualizado
Descripción
Vulnerabilidad
Amenaza
La información colocada en la página Web de
la SUPERTEL es pública, por lo cual debería
ser constantemente verificada y administrada,
para que las personas que requieran de esta
información cuenten con información correcta.
Para el caso de las carpetas compartidas, los
funcionarios requieren que los archivos siempre
estén actualizados.
Los administradores de los servidores manejan
las contraseñas de administración de los
mismos, que en caso de que se difundan estas
contraseñas, se podría manipular la
información contenida de forma no autorizada.
Para las estaciones de trabajo, los funcionarios
no tienen una administración adecuada de sus
contraseñas.
No todos los desarrollos de aplicativos o
sistemas son documentados es su totalidad,
haciendo que no se tenga certeza de alguna
modificación importante que se haya realizado,
dificultando futuras modificaciones.
Al no configurar correctamente varios
parámetros de los equipos, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas.
Se podrían producir daños en la base de datos
debido al mal funcionamiento del software que
la administra, o daños en los equipos que las
contiene
Se puede acceder a la información que se
transmite por los enlaces de la SUPERTEL
debido a que no se tienen mecanismos de
protección de la información que se está
enviando. (Ej. Cifrado)
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
148
Abuso de
derechos
Error en el uso
Amenaza
Mal funcionamiento del
equipo y del software
instalado
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
En las estaciones de trabajo no se utiliza
adecuadamente el software y el hardware
por falta de capacitación sobre buenas
prácticas en el manejo de los mismos.
No se ha capacitado a los funcionarios de
la Institución en aspectos básicos de la
seguridad de la información.
Uso incorrecto de
Software o Hardware
Falta de conciencia
acerca de la
seguridad
Asignación errada de
derechos de acceso al
servidor SFTP
Acceso no autorizado al
servidor SFTP
Acceso indebido a las
carpetas compartidas
por parte de usuarios no
autorizados
Pérdida de Información
de la configuración de
los equipos
Las configuraciones realizadas en los
equipos de conectividad no son
documentadas de acuerdo a los cambios
que se realicen.
No llevar registro de
las modificaciones en
las configuraciones
realizadas en los
equipos de
conectividad
Existen carpetas compartidas para las
cuales se han configurado permisos de
acceso a usuarios que no deberían
acceder a las mismas.
Existen usuarios que tienen permisos
para acceder al servidor SFTP sin que se
justifiquen estos permisos.
No se cuenten con el
número de licencias de
antivirus para todos los
funcionarios
No se ha hecho un inventario del número
de licencias necesarias para instalación
del antivirus en todos los equipos de
trabajo.
Mal dimensionamiento
del número de
usuarios del antivirus
Falta de control de
acceso a las carpetas
compartidas
Los firewalls no trabajan
adecuadamente
Algunos parámetros de configuración de
los firewalls no pueden ser administrador
debido a que no se cuenta con un registro
de configuraciones anteriores
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Impacto
Descripción
Vulnerabilidad
No se tiene una cultura de utilización de
equipos del área de trabajo que permita un
correcto uso de los mismos, por lo que
frecuentemente se presentan problemas en
el funcionamiento de los mismos.
Al no establecer buenas prácticas para la
seguridad de la información, las acciones
que toman los funcionarios acerca de la
manipulación de la información no siempre
son las correctas, pudiendo comprometer la
misma.
Existen fallas en la asignación de derechos
de acceso que permiten que usuarios no
autorizados accedan a información que no
les compete.
Se podría acceder al servidor de forma no
autorizada y copiar, modificar o eliminar la
información que contiene
En caso de nuevas configuraciones o de que
se presenten fallas no se puede consultar la
información de lo anteriormente configurado.
Al no configurar correctamente varios
parámetros de los firewalls, se pueden
presentar incidentes de seguridad de la
información debido a las restricciones no
establecidas
No se ha realizado una actualización del
registro del número de equipos en donde
está instalado el antivirus, por lo que no se
pueden proporcionar licencias para nuevas
instalaciones.
Descripción
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
149
Incumplimiento
en la
disponibilidad
del personal
Falsificación
de derechos
Abuso de
derechos
Amenaza
Ausencia en el
Personal
Los servicios pueden necesitar soporte
técnico o informático y el funcionario a
cargo no está disponible
Algún usuario puede ingresar a una
aplicación o servicio para el cual no está
autorizado y realizar modificaciones.
No se tiene un procedimiento adecuado
para renovación y manejo de
contraseñas.
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Mal manejo de
cuentas de usuario
para la autenticación
de usuarios en el
sistema LDAP (Active
Directory)
No se cuenta con procedimientos que
consideren los riesgos en la seguridad de
la información para la DTT
No se tiene un procedimiento adecuado
para renovación y manejo de
contraseñas.
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Ausencia de
procedimientos de
identificación y
valoración de riesgos
Descripción
Vulnerabilidad
Por la falta de conocimiento acerca de los
riesgos en la seguridad de la información que
pueden presentarse, los funcionarios muy a
menudo toman decisiones que pueden
comprometer la información
Los administradores de los servidores
manejan las contraseñas de administración
de los mismos, que en caso de que se
difundan estas contraseñas, se podría
manipular la información contenida de forma
no autorizada. Para las estaciones de
trabajo, los funcionarios no tienen una
administración adecuada de sus
contraseñas.
Se pueden presentar
riesgos en la seguridad
de la información que
en la DTT no saben
cómo tratarlos
adecuadamente.
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
No se puede dar
soporte informático
oportuno en el servicio
Acceso no autorizado al
servicio o aplicación
Los administradores de los servidores
manejan las contraseñas de administración
de los mismos, que en caso de que se
difundan estas contraseñas, se podría
manipular la información contenida de forma
no autorizada. Para las estaciones de
trabajo, los funcionarios no tienen una
administración adecuada de sus
contraseñas.
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Se presentan situaciones en las que el
personal encargado del soporte a los
diferentes servicios de la DTT no se
encuentran disponibles, retrasando la
solución a los inconvenientes que se
presentan en los mismos de forma oportuna.
En los sistemas que no utilizan como
mecanismos de seguridad la autenticación
para su uso, se tiene un alto riesgo de
acceso ilegal a los mismos, pudiendo
modificarse o eliminarse la información.
Descripción
Impacto
Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos
150
151
2.4.2.2. Evaluación del Riesgo
En esta etapa de la gestión del riesgo en la seguridad de la información, se
realiza la comparación de los niveles del riesgo frente a los criterios para la
evaluación del riesgo y los criterios de aceptación del riesgo, los resultados que se
obtienen reflejan la criticidad de los riesgos de acuerdo a cada servicio de la DTT,
planteando el tratamiento adecuado para los mismos.
La Figura 2.9 representa una esquematización del proceso para obtener el
nivel del riesgo asignado a cada uno de los servicios, mediante el análisis de las
vulnerabilidades e impactos, contenidos en la Tabla 2.9 y con las tablas elaboradas
para cada uno de los servicios analizados.
En esta fase de evaluación del riesgo se utilizan los criterios definidos en la
sección 2.4.1.1 Criterios básicos, incluyendo el criterio de evaluación de riesgos
definido en la sección 2.4.1.1.4 Criterios de evaluación de riesgo (pág. 93), para
obtener un valor cualitativo del riesgo, que puede ser Bajo(1-4), Medio(6-12),
Alto(16-27) y Muy alto(32-64).
Figura 2.9. Esquema para la valoración de riegos en la seguridad de la
información
Se presenta la evaluación del riesgo de varios servicios, clasificados de
acuerdo a los tipos de activos: activos de información, físicos, de software y de
152
servicios, mostrados dentro de la sección 2.4.2.1.1 (Identificación del riesgo); este
análisis servirá de ejemplo para realizar la evaluación del riesgo de cualquier
servicio dentro de cada tipo de activo.
Finalmente se obtuvo una tabla que detalla las vulnerabilidades que afectan
al servicio, las valoraciones de cada criterio básico y el nivel de riesgo total que se
produce; lo que permite pasar a la fase de tratamiento de los riesgos.
Para una rápida comprensión de la evaluación del riesgo de cada
vulnerabilidad planteada para los servicios de la DTT, se muestra un ejemplo de
cómo se obtuvo la valoración del riesgo de un par de vulnerabilidades del servicio
ORACLE, mostradas en la Tabla 2.10 :
Vulnerabilidad: No se realiza un mantenimiento periódico del Sistema
Contra incendios
Impacto: Pérdida de información almacenada en los equipos del edificio
matriz en caso de producirse un incendio
Criterio de probabilidad de ocurrencia:
Poco probable = 1
Impacto de acuerdo al tiempo sin
funcionamiento del servicio:
Muy grave = 4
Pérdida de inf. por caída del servicio:
Muy grave = 4
Total criterio de evaluación del riesgo:
1*4*4 = 16 = Alto
Vulnerabilidad: Administración incorrecta de los parámetros de
funcionamiento de los equipos de telecomunicaciones
Impacto: El equipo no trabaja adecuadamente
Criterio de probabilidad de ocurrencia:
Probable = 2
Impacto de acuerdo al tiempo sin
funcionamiento del servicio:
Medio = 2
Pérdida de inf. por caída del servicio:
Pequeño = 1
Total criterio de evaluación del riesgo:
2*2*1 = 4 = Bajo
A continuación, se muestran las tablas de valoración de los riesgos de los
servicios a cargo de la DTT que están continuamente en funcionamiento.
Eventos
naturales
Eventos
naturales
Daño físico
Tipo de
amenaza
Fuego
Climáticos
Climáticos
Sísmicos
Volcánicos
Falta de capacitación
del personal sobre
cómo reaccionar ante
una erupción
volcánica
Falta de capacitación
del personal sobre
cómo reaccionar ante
un evento sísmico
Filtración de agua en
la estructura del
edificio
Desestabilización de
la red de energía
eléctrica en el sector
del edificio matriz
Mal mantenimiento
del sistema de
Control de acceso al
Centro de Cómputo
No se realiza un
mantenimiento
periódico del Sistema
Contra incendios
Destrucción
del equipo
Vulnerabilidades
1
Poco
Probable
Poco
Probable
Daño en los equipos
Los equipos sensibles a
variaciones de voltaje
sufren daños.
1
1
1
1
1
Poco
Probable
Poco
Probable
Poco
Probable
Poco
Probable
Accidentes de los
funcionarios al producirse
el evento.
Accidentes de los
funcionarios al producirse
el evento.
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Mal funcionamiento del
dispositivo biométrico del
sistema de Control de
acceso al Centro de
Cómputo
Impacto
Probabilidad de
ocurrencia
Grave
Muy grave
Muy grave
Muy grave
Pequeño
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.10. Valoración del riesgo servicio Oracle
Amenaza
2.4.2.2.1. Activos de Información
3
4
4
4
1
4
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Muy
grave
Pérdida
de inf.
por
caída del
servicio
2
2
4
4
1
4
6
8
16
16
1
16
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Alto
Alto
Bajo
Alto
Nivel
Riesgo
153
Pérdida de
servicios
esenciales
Tipo de
amenaza
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el
equipo de
telecomunicaciones
Pérdida de
suministro de
energía
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Falla en el
sistema en el
suministro de
agua y aire
acondicionado
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
No tener correctas
instalaciones
eléctricas
No revisar
periódicamente la
conexión entre el
sistema de UPS y la
red de energía
eléctrica en el edificio.
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Vulnerabilidades
Amenaza
Falla del sistema de
Alimentación
ininterrumpida (UPS)
Altamente
Probable
Probable
Altamente
Probable
Monitoreo inadecuado de
los enlaces WAN
El equipo no trabaja
adecuadamente
Altamente
Probable
Poco
Probable
Probable
Mal funcionamiento del
sistema de alimentación
ininterrumpida (UPS)
Los equipos sensibles a
variaciones de voltaje
sufren daños.
Daño de los equipos en
el Centro de Cómputo
Impacto
Probabilidad de
ocurrencia
4
2
4
4
1
2
Grave
Medio
Grave
Grave
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.10. Valoración del riesgo servicio Oracle
3
2
3
3
3
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
1
1
1
12
4
12
12
3
6
Total
Criterios
Evaluación
de Riesgo
Moderado
Bajo
Moderado
Moderado
Bajo
Moderado
Nivel
Riesgo
154
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Divulgación
Escucha
encubierta
Espionaje
remoto
Amenaza
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Vulnerabilidades
Altamente
Probable
Probable
Poco
Probable
Los firewalls no trabajan
adecuadamente
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Poco
Probable
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Robo de información
Altamente
Probable
Probable
Monitoreo inadecuado de
los enlaces WAN
Los firewalls no trabajan
adecuadamente
Impacto
Probabilidad de
ocurrencia
1
2
4
1
4
2
Medio
Medio
Grave
Medio
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.10. Valoración del riesgo servicio Oracle
2
2
3
2
3
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
1
1
1
2
4
12
2
12
4
Total
Criterios
Evaluación
de Riesgo
Bajo
Bajo
Moderado
Bajo
Moderado
Bajo
Nivel
Riesgo
155
Compromiso
de la
información
Tipo de
amenaza
Manipulación
con software
Falla en la
conexión entre
servidores
Falta de
respaldos
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Tener archivos de
respaldos en los
mismos equipos del
Centro de Cómputo
principal
No se dimensione
correctamente el
espacio necesario para
respaldar la
información
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Falta de mantenimiento
de las bases de datos
Vulnerabilidades
Amenaza
Probable
Probable
Pérdida parcial de la
información
Falla en la conexión a los
servidores de réplica
Muy
Probable
Pérdida de la información
de los archivos de
respaldos
Poco
Probable
Probable
Se consumen todos los
recursos de procesamiento
de los equipos
Daño en la Base de Datos
Probable
Probable
Los firewalls no trabajan
adecuadamente
Mala disponibilidad del
servicio
Impacto
Probabilidad de
ocurrencia
2
2
3
1
2
2
2
Medio
Medio
Muy grave
Grave
Medio
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.10. Valoración del riesgo servicio Oracle
2
2
4
3
2
2
2
Pequeño
Pequeño
Muy
grave
Medio
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
4
2
1
1
1
4
4
48
6
4
4
4
Total
Criterios
Evaluación
de Riesgo
Bajo
Bajo
Muy alto
Moderado
Bajo
Bajo
Bajo
Nivel
Riesgo
156
Fallas
técnicas
Falla en la
conexión entre
servidores
Compromiso
de la
información
Mal
funcionamiento
del software
Saturación del
sistema de
información
Mal
funcionamiento
del equipo
Falla del
equipo
Amenaza
Tipo de
amenaza
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
No realizar
mantenimiento técnico
de equipos en el
Centro de Cómputo
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No realizar
mantenimiento técnico
de equipos en el
Centro de Cómputo
Falta de planificación
de la capacidad de
almacenamiento en los
servidores
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
Falta de mantenimiento
de las bases de datos
Vulnerabilidades
2
1
Probable
Poco
Probable
Mala disponibilidad del
servicio
Daño en la Base de Datos
2
1
Probable
Poco
Probable
2
1
2
Falta de capacidad de
almacenamiento en los
servidores
Daño de los equipos del
Centro de Cómputo
Probable
Poco
Probable
Daño de los equipos del
Centro de Cómputo
El equipo no trabaja
adecuadamente
Probable
Mala disponibilidad del
servicio
Impacto
Probabilidad de
ocurrencia
Grave
Grave
Medio
Grave
Medio
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.10. Valoración del riesgo servicio Oracle
3
3
2
3
2
3
3
Medio
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
2
1
1
1
1
1
1
6
6
4
3
4
3
6
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Bajo
Bajo
Bajo
Bajo
Moderado
Nivel
Riesgo
157
Compromiso
de funciones
Acciones no
autorizadas
Fallas
técnicas
Tipo de
amenaza
Error en el uso
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Probable
Probable
Poco
Probable
Probable
El equipo no trabaja
adecuadamente
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Los firewalls no trabajan
adecuadamente
Poco
Probable
Altamente
Probable
Falla en la conexión a los
servidores de réplica
Daño en la Base de Datos
Falta de mantenimiento
de las bases de datos
Procesamiento
ilegal de los
datos
Monitoreo inadecuado de
los enlaces WAN
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Incumplimiento
en el
mantenimiento
del sistema de
información
Uso del
software falso
o copiado o
desactualizado
Impacto
Vulnerabilidades
Amenaza
Probabilidad de
ocurrencia
2
1
2
2
1
4
Medio
Medio
Medio
Medio
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.10. Valoración del riesgo servicio Oracle
2
2
2
2
3
3
Pequeño
Pequeño
Pequeño
Pequeño
Medio
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
1
2
1
4
2
4
4
6
12
Total
Criterios
Evaluación
de Riesgo
Bajo
Bajo
Bajo
Bajo
Moderado
Moderado
Nivel
Riesgo
158
Poco
Probable
Poco
Probable
Poco
Probable
1
1
1
Medio
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
2
Impacto
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Vulnerabilidades
No se realiza un
mantenimiento periódico
del Sistema Contra
incendios
Fuego
Daño físico
Probabilidad de
ocurrencia
Poco
Probable
1
Muy grave
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
Muy
grave
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
El funcionario podría tomar
acciones que
comprometan la seguridad
de la información
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Impacto
Amenaza
Falsificación
de derechos
Abuso de
derechos
Falta de conciencia
acerca de la seguridad
Error en el uso
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas
de administración,
sistema de backups y
estaciones de trabajo)
Vulnerabilidades
Amenaza
Tipo de
amenaza
Compromiso
de funciones
Tipo de
amenaza
Probabilidad de
ocurrencia
Tabla 2.10. Valoración del riesgo servicio Oracle
4
1
1
1
16
Total
Criterios
Evaluación
de Riesgo
2
2
2
Total
Criterios
Evaluación
de Riesgo
Alto
Nivel
Riesgo
Bajo
Bajo
Bajo
Nivel
Riesgo
159
Pérdida de
servicios
esenciales
Eventos
naturales
Daño físico
Tipo de
amenaza
Falla en el
sistema en el
suministro de
agua y aire
acondicionado
Pérdida de
suministro de
energía
Climáticos
Sísmicos
Volcánicos
Destrucción del
equipo
Amenaza
Daño de los equipos
en el Centro de
Cómputo
Los equipos sensibles
a variaciones de
voltaje sufren daños.
Mal mantenimiento de
los sistemas de Aire
Acondicionado
No tener correctas
instalaciones eléctricas
Poco
Probable
Probable
Poco
Probable
1
2
1
1
Poco
Probable
Daño en los equipos
Los equipos sensibles
a variaciones de
voltaje sufren daños.
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
1
1
Poco
Probable
Mal funcionamiento
del dispositivo
biométrico del
sistema de Control de
acceso al Centro de
Cómputo
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
Accidentes de los
funcionarios al
producirse el evento.
Poco
Probable
Impacto
Vulnerabilidades
Falta de capacitación
del personal sobre
cómo reaccionar ante
una erupción volcánica
Falta de capacitación
del personal sobre
cómo reaccionar ante
un evento sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía
eléctrica en el sector
del edificio matriz
Probabilidad de
ocurrencia
Grave
Grave
Grave
Muy grave
Muy grave
Muy grave
Pequeño
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
3
3
4
4
4
1
Pequeño
Pequeño
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
2
2
4
4
1
3
6
6
8
16
16
1
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Moderado
Alto
Alto
Bajo
Nivel
Riesgo
160
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Espionaje
remoto
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el
equipo de
telecomunicaciones
Pérdida de
suministro de
energía
Amenaza
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
No revisar
periódicamente la
conexión entre el
sistema de UPS y la
red de energía
eléctrica en el edificio.
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Vulnerabilidades
Monitoreo inadecuado
de los enlaces WAN
Los firewalls no
trabajan
adecuadamente
Falla del sistema de
Alimentación
ininterrumpida (UPS)
El equipo no trabaja
adecuadamente
Mal funcionamiento
del sistema de
alimentación
ininterrumpida (UPS)
Impacto
Altamente
Probable
Probable
Altamente
Probable
Probable
Altamente
Probable
Probabilidad de
ocurrencia
4
2
4
2
4
Medio
Medio
Muy grave
Pequeño
Grave
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
4
1
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
1
1
1
8
4
16
2
12
Total
Criterios
Evaluación
de Riesgo
Moderado
Bajo
Alto
Bajo
Moderado
Nivel
Riesgo
161
Compromiso
de la
información
Tipo de
amenaza
Divulgación
Escucha
encubierta
Amenaza
Falta de control de
acceso a las carpetas
compartidas
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Probable
Probable
Probable
Acceso no autorizado a
ciertos documentos
Acceso no autorizado a
la información
(almacenada en
servidores, consolas
de administración,
sistema de backups y
en estaciones de
trabajo)
Acceso indebido a las
carpetas compartidas
por parte de usuarios
no autorizados
Probable
Los firewalls no
trabajan
adecuadamente
Poco
Probable
Acceso no autorizado a
la información
(almacenada en
servidores, consolas
de administración,
sistema de backups y
en estaciones de
trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Robo de información
Probable
Impacto
Vulnerabilidades
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Mal manejo de la
compartición de la
información
Probabilidad de
ocurrencia
2
2
2
2
1
2
Medio
Grave
Grave
Medio
Muy grave
Grave
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
3
2
4
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
1
1
1
1
4
6
6
4
4
6
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Bajo
Bajo
Moderado
Nivel
Riesgo
162
Compromiso
de la
información
Tipo de
amenaza
Manipulación
con software
Divulgación
Amenaza
Probable
Los firewalls no
trabajan
adecuadamente
2
Probable
Probable
2
Probable
Mala disponibilidad del
servicio
2
Probable
2
2
1
2
Probable
Poco
Probable
Divulgación no
autorizada de
información
Ingreso de usuarios no
autorizados al sistema
Modificación o
Eliminación de
Información en la Base
de Datos o el sistema
Falla de autenticación
de los usuarios
mediante Active
Directory
Mal manejo de la
compartición de la
información
Asignación errada de
derechos de acceso
Tener administradores
de segundo nivel que
puedan hacer cambios
no autorizados
Administración
inadecuada de las
cuentas de usuario en
Active Directory
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de
la DTT
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Distribución incorrecta
de información para
usuarios
Impacto
Vulnerabilidades
Probabilidad de
ocurrencia
Medio
Grave
Medio
Medio
Grave
Medio
Grave
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
2
2
3
2
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
1
1
1
1
1
4
6
2
4
6
4
6
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Bajo
Bajo
Moderado
Bajo
Moderado
Nivel
Riesgo
163
Fallas
técnicas
Compromiso
de la
información
Tipo de
amenaza
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de
la DTT
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Falla en la
conexión entre
servidores
Falla del equipo
Mal
funcionamiento
del software
Falta de planificación
sobre la capacidad de
procesamiento de la
información
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de
la DTT
Pérdida de la
información de los
archivos de respaldos
Tener archivos de
respaldos en los mismos
equipos del Centro de
Cómputo principal
Falta de
respaldos
Saturación del
sistema de
información
Se consumen todos los
recursos de
procesamiento de los
equipos
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Manipulación
con software
Mala disponibilidad del
servicio
Se consumen todos los
recursos de
procesamiento de los
equipos
El equipo no trabaja
adecuadamente
Mala disponibilidad del
servicio
Falla en la conexión a
los servidores de
réplica
Impacto
Vulnerabilidades
Amenaza
Probable
Probable
Probable
Probable
Probable
Altamente
Probable
Probable
Probabilidad de
ocurrencia
2
2
2
2
2
4
2
Grave
Grave
Medio
Grave
Grave
Grave
Grave
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
3
2
3
3
3
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Grave
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
1
1
1
3
1
6
6
4
6
6
36
6
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Bajo
Moderado
Moderado
Muy alto
Moderado
Nivel
Riesgo
164
Compromiso
de funciones
Fallas
técnicas
Tipo de
amenaza
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
Incumplimiento
en el
mantenimiento
del sistema de
información
Procesamiento
ilegal de los
datos
Error en el uso
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Vulnerabilidades
Amenaza
Poco
Probable
Probable
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Probable
Probable
Altamente
Probable
Poco
Probable
Distribución incorrecta
de información para
usuarios
El equipo no trabaja
adecuadamente
Falla en la conexión a
los servidores de réplica
Monitoreo inadecuado
de los enlaces WAN
Distribución incorrecta
de información para
usuarios
Impacto
Probabilidad de
ocurrencia
2
1
2
2
4
1
Grave
Medio
Medio
Grave
Medio
Medio
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
2
2
3
2
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
1
1
1
1
6
2
4
6
8
2
Total
Criterios
Evaluación
de Riesgo
Moderado
Bajo
Bajo
Moderado
Moderado
Bajo
Nivel
Riesgo
165
Compromiso
de funciones
Tipo de
amenaza
Falsificación de
derechos
Abuso de
derechos
Mal manejo de cuentas
de usuario para la
autenticación de usuarios
en el sistema LDAP
(Active Directory)
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Ausencia de
procedimientos de
identificación y valoración
de riesgos
Acceso no autorizado al
servicio o aplicación
Se pueden presentar
riesgos en la seguridad de
la información que en la
DTT no saben cómo
tratarlos adecuadamente.
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Probable
Probable
Muy
probable
Probable
Probable
Acceso indebido a las
carpetas compartidas
por parte de usuarios no
autorizados
Falta de control de acceso
a las carpetas compartidas
Probable
Altamente
Probable
Error en el uso
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
Los firewalls no trabajan
adecuadamente
Administración incorrecta
de los parámetros de
funcionamiento de los
firewalls
Falta de conciencia
acerca de la seguridad
Impacto
Vulnerabilidades
Amenaza
Probabilidad de
ocurrencia
2
2
3
2
2
4
2
Pequeño
Grave
Muy grave
Grave
Medio
Medio
Medio
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
1
3
4
3
2
2
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
1
1
1
1
1
1
1
2
6
12
6
4
8
4
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Moderado
Bajo
Moderado
Bajo
Nivel
Riesgo
166
Eventos
naturales
Daño físico
Tipo de
amenaza
No se realiza un
mantenimiento
periódico del Sistema
Contra incendios
Fuego
Volcánicos
Falta de capacitación
del personal sobre
cómo reaccionar ante
una erupción volcánica
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
Vulnerabilidades
Amenaza
Destrucción
del equipo
No se puede dar
soporte informático
oportuno en el servicio
Impacto
Probable
2
Muy grave
4
Pequeño
Pérdida
de inf.
por
caída del
servicio
Accidentes de los
funcionarios al
producirse el evento.
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Mal funcionamiento del
dispositivo biométrico
del sistema de Control
de acceso al Centro de
Cómputo
Impacto
Poco
Probable
Poco
Probable
Poco
Probable
Criterio de
probabilidad de
ocurrencia
1
1
1
Muy grave
Pequeño
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
1
4
Muy
grave
Pequeño
Muy
grave
Pérdida
de inf.
por caída
del
servicio
Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel
Ausencia en el Personal
Incumplimiento
en la
disponibilidad
del personal
Compromiso
de funciones
2.4.2.2.2. Activos Físicos
Vulnerabilidades
Amenaza
Tipo de
amenaza
Probabilidad de
ocurrencia
Impacto
de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos
4
1
4
1
16
1
16
Total
Criterios
Evaluación
del Riesgo
8
Total
Criterios
Evaluación
de Riesgo
Alto
Bajo
Alto
Nivel del
riesgo
Moderado
Nivel
Riesgo
167
Pérdida de
servicios
esenciales
Eventos
naturales
Tipo de
amenaza
Falla en el
Sistema de
Alimentación
Ininterrumpida
(UPS)
Pérdida de
suministro de
energía
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Climáticos
Sísmicos
Amenaza
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
Falla del sistema de
Alimentación
ininterrumpida (UPS)
Mal funcionamiento del
sistema de alimentación
ininterrumpida (UPS)
Altamente
Probable
Altamente
Probable
Poco
Probable
Los equipos sensibles a
variaciones de voltaje
sufren daños.
No tener correctas
instalaciones eléctricas
No revisar
periódicamente la
conexión entre el
sistema de UPS y la red
de energía eléctrica en
el edificio.
Probable
Daño de los equipos en
el Centro de Cómputo
Poco
Probable
4
4
1
2
1
1
Poco
Probable
Daño en los equipos
Los equipos sensibles a
variaciones de voltaje
sufren daños.
1
1
Poco
Probable
Poco
Probable
Daños físicos en los
equipos
Accidentes de los
funcionarios al
producirse el evento.
Impacto
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Falta de capacitación
del personal sobre
cómo reaccionar ante
un evento sísmico
No asegurar
correctamente la
ubicación de los
equipos
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
Grave
Grave
Grave
Grave
Grave
Muy grave
Muy grave
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
3
3
3
3
4
4
4
Pequeño
Pequeño
Pequeño
Pequeño
Medio
Medio
Medio
Muy
grave
Pérdida
de inf.
por caída
del
servicio
Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel
1
1
1
1
2
2
2
4
12
12
3
6
6
8
8
16
Total
Criterios
Evaluación
del Riesgo
Moderado
Moderado
Bajo
Moderado
Moderado
Moderado
Moderado
Alto
Nivel del
riesgo
168
Compromiso
de funciones
Fallas
técnicas
Falta de
respaldos
Pérdida de
servicios
esenciales
Error en el uso
Incumplimiento
en el
mantenimiento
del sistema de
información
Mal
funcionamiento
del equipo
Falla del
equipo
Amenaza
Tipo de
amenaza
Falta de conciencia
acerca de la seguridad
Mal funcionamiento del
equipo y del software
instalado
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
Pérdida de Información
de la configuración de
los equipos
No llevar registro de las
modificaciones en las
configuraciones
realizadas en los
equipos de conectividad
Uso incorrecto de
Software o Hardware
Daño o pérdida de
información
Daño de los equipos del
Centro de Cómputo
Daño de los equipos del
Centro de Cómputo
Pérdida de la
información de los
archivos de respaldos
Impacto
No realizar
mantenimiento
preventivo
Tener archivos de
respaldos en los
mismos equipos del
Centro de Cómputo
principal
No realizar
mantenimiento técnico
de equipos en el Centro
de Cómputo
No realizar
mantenimiento técnico
de equipos en el Centro
de Cómputo
Vulnerabilidades
Poco
Probable
Poco
Probable
Poco
Probable
Probable
Poco
Probable
Poco
Probable
Altamente
Probable
Criterio de
probabilidad de
ocurrencia
1
1
1
2
1
1
4
Medio
Medio
Medio
Grave
Grave
Grave
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
2
3
3
3
4
Pequeño
Pequeño
Pequeño
Medio
Pequeño
Pequeño
Muy
grave
Pérdida
de inf.
por caída
del
servicio
Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel
1
1
1
2
1
1
4
2
2
2
12
3
3
64
Total
Criterios
Evaluación
del Riesgo
Bajo
Bajo
Bajo
Moderado
Bajo
Bajo
Muy alto
Nivel del
riesgo
169
Pérdida de
servicios
esenciales
Eventos
naturales
Daño físico
Tipo de
amenaza
Fuego
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Climáticos
Sísmicos
Volcánicos
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Falta de capacitación
del personal sobre
cómo reaccionar ante
una erupción volcánica
Falta de capacitación
del personal sobre
cómo reaccionar ante
un evento sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
No se realiza un
mantenimiento
periódico del Sistema
Contra incendios
Destrucción
del equipo
Vulnerabilidades
Poco
Probable
Daño en los equipos
Daño de los equipos en el
Centro de Cómputo
Probable
Poco
Probable
Poco
Probable
Accidentes de los
funcionarios al producirse
el evento.
Los equipos sensibles a
variaciones de voltaje
sufren daños.
Poco
Probable
Poco
Probable
Poco
Probable
Accidentes de los
funcionarios al producirse
el evento.
Pérdida de información
almacenada en los
equipos del edificio matriz
en caso de producirse un
incendio
Mal funcionamiento del
dispositivo biométrico del
sistema de Control de
acceso al Centro de
Cómputo
Impacto
Criterio de
probabilidad de
ocurrencia
2
1
1
1
1
1
1
Grave
Grave
Muy grave
Muy grave
Muy grave
Pequeño
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
Amenaza
2.4.2.2.3. Activos de Software
3
3
4
4
4
1
4
Pequeño
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Muy
grave
Pérdida
de inf.
por
caída
del
servicio
1
2
2
4
4
1
4
6
6
8
16
16
1
16
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Moderado
Alto
Alto
Bajo
Alto
Nivel del
riesgo
170
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Espionaje
remoto
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el
equipo de
telecomunicaciones
Pérdida de
suministro de
energía
Amenaza
Falta de certificado de
seguridad para las
Páginas Web
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No monitorear
adecuadamente los
accesos al servidor
SFTP de forma externa
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
Probable
Poco
Probable
Robo o Modificación de la
información ingresada
Probable
Altamente
Probable
Poco
Probable
Los firewalls no trabajan
adecuadamente
Robo o modificación de la
información
Falla del sistema de
Alimentación
ininterrumpida (UPS)
El equipo no trabaja
adecuadamente
Altamente
Probable
Los equipos sensibles a
variaciones de voltaje
sufren daños.
No tener correctas
instalaciones eléctricas
Mal funcionamiento del
sistema de alimentación
ininterrumpida (UPS)
Poco
Probable
Impacto
Vulnerabilidades
No revisar
periódicamente la
conexión entre el
sistema de UPS y la
red de energía eléctrica
en el edificio.
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Criterio de
probabilidad de
ocurrencia
1
2
2
4
1
4
1
Medio
Grave
Medio
Grave
Medio
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
2
3
2
3
2
3
3
Medio
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
2
1
1
1
1
1
1
4
6
4
12
2
12
3
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Bajo
Moderado
Bajo
Moderado
Bajo
Nivel del
riesgo
171
Compromiso
de la
información
Tipo de
amenaza
Datos
provenientes
de fuentes no
confiables
Divulgación
Escucha
encubierta
Amenaza
Falta de certificado de
seguridad para las
Páginas Web
Falla en la conexión a los
servidores de réplica
Poco
probable
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Probable
Probable
Los firewalls no trabajan
adecuadamente
Modificación de la
información
Poco
Probable
Acceso no autorizado al
servidor SFTP
Muy
probable
Probable
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y
estaciones de trabajo)
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
No encriptar la
información
Asignación errada de
derechos de acceso al
servidor SFTP
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y
estaciones de trabajo)
Robo y modificación de
información
Poco
probable
Impacto
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
2
1
2
1
3
2
1
Medio
Medio
Grave
Grave
Grave
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
2
2
3
3
3
3
2
Pequeño
Medio
Pequeño
Medio
Grave
Pequeño
Medio
Pérdida
de inf.
por
caída
del
servicio
1
2
1
2
3
1
2
4
4
6
6
27
6
4
Total
Criterio
Evaluación
del Riesgo
Bajo
Bajo
Moderado
Moderado
Alto
Moderado
Bajo
Nivel del
riesgo
172
Compromiso
de la
información
Tipo de
amenaza
Falta de
respaldos
Manipulación
con software
Amenaza
Tener administradores
de segundo nivel que
puedan hacer cambios
no autorizados
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No realizar la
renovación oportuna
del dominio de la
página web
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Falta de mantenimiento
de las bases de datos
Tener archivos de
respaldos en los
mismos equipos del
Centro de Cómputo
principal
Vulnerabilidades
Altamente
Probable
1
Poco
probable
Daño en la Base de Datos
Pérdida de la información
de los archivos de
respaldos
2
Probable
Se consumen todos los
recursos de
procesamiento de los
equipos
4
2
Probable
Se podría producir la
suplantación de la página
web
2
2
Probable
Probable
Distribución incorrecta de
información para usuarios
1
Los firewalls no trabajan
adecuadamente
Poco
Probable
Modificación o Eliminación
de Información en la Base
de Datos o el sistema
Impacto
Criterio de
probabilidad de
ocurrencia
Muy grave
Muy grave
Grave
Grave
Grave
Pequeño
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
4
4
3
3
3
1
3
Muy
grave
Muy
grave
Medio
Grave
Pequeño
Pequeño
Medio
Pérdida
de inf.
por
caída
del
servicio
4
4
2
3
1
1
2
64
16
12
18
6
2
6
Total
Criterio
Evaluación
del Riesgo
Muy alto
Alto
Moderado
Alto
Moderado
Bajo
Moderado
Nivel del
riesgo
173
Fallas
técnicas
Compromiso
de la
información
Tipo de
amenaza
Mal
funcionamiento
del software
Saturación del
sistema de
información
Mal
funcionamiento
del equipo
Falla del
equipo
Falla en la
conexión entre
servidores
Falta de
respaldos
Amenaza
No tener respaldado el
código fuente del
desarrollo de software
dentro de la DTT
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No realizar
mantenimiento técnico
de equipos en el Centro
de Cómputo
Falta de planificación
de la capacidad de
almacenamiento en los
servidores
Falta de planificación
sobre la capacidad de
procesamiento de la
información
No tener respaldado el
código fuente del
desarrollo de software
dentro de la DTT
Vulnerabilidades
El software no cumple
correctamente con sus
funcionalidades
Se consumen todos los
recursos de
procesamiento de los
equipos
Falta de capacidad de
almacenamiento en los
servidores
Daño de los equipos del
Centro de Cómputo
El equipo no trabaja
adecuadamente
Falla en la conexión a los
servidores de réplica
El software no cumple
correctamente con sus
funcionalidades
Impacto
Probable
Probable
Probable
Probable
Poco
Probable
Probable
Probable
Criterio de
probabilidad de
ocurrencia
2
2
2
2
1
2
2
Medio
Grave
Grave
Muy grave
Medio
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
2
3
3
4
2
3
2
Pequeño
Medio
Medio
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
1
2
2
1
1
1
1
4
12
12
8
2
6
4
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Moderado
Moderado
Bajo
Moderado
Bajo
Nivel del
riesgo
174
Compromiso
de funciones
Fallas
técnicas
Tipo de
amenaza
Error en el uso
Procesamiento
ilegal de los
datos
Uso de
software falso,
copiado o
desactualizado
Incumplimiento
en el
mantenimiento
del sistema de
información
Mal
funcionamiento
del software
Amenaza
Probable
Distribución incorrecta de
información para usuarios
Se podría producir la
suplantación de la página
web
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
El equipo no trabaja
adecuadamente
Falla en la conexión a los
servidores de réplica
Poco
Probable
Probable
Poco
probable
Probable
Generación de
información incorrecta
Daño en la Base de Datos
Probable
Daño en la Base de Datos
Falta de mantenimiento
de las bases de datos
1
Poco
probable
Se consumen todos los
recursos de
procesamiento de los
equipos
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Falta de mantenimiento
de las bases de datos
Software nuevo o
inmaduro
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
No realizar la
renovación oportuna
del dominio de la
página web
1
2
1
2
2
2
2
Probable
Impacto
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
Medio
Grave
Muy grave
Grave
Pequeño
Medio
Muy grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
2
3
4
3
1
2
4
3
Pequeño
Pequeño
Muy
grave
Grave
Pequeño
Pequeño
Muy
grave
Medio
Pérdida
de inf.
por
caída
del
servicio
1
1
4
3
1
1
4
2
2
6
16
18
2
4
16
12
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Alto
Alto
Bajo
Bajo
Alto
Moderado
Nivel del
riesgo
175
Compromiso
de funciones
Tipo de
amenaza
Error en el uso
Amenaza
Falta de conciencia
acerca de la seguridad
No tener respaldado el
código fuente del
desarrollo de software
dentro de la DTT
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y
estaciones de trabajo)
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No llevar registro de las
modificaciones en las
configuraciones
realizadas en los
equipos de
conectividad
Vulnerabilidades
Probable
Probable
Poco
probable
Probable
Probable
Probable
El software no cumple
correctamente con sus
funcionalidades
Distribución incorrecta de
información para usuarios
Acceso no autorizado a la
información (almacenada
en servidores, consolas de
administración, sistema de
backups y en estaciones
de trabajo)
Los firewalls no trabajan
adecuadamente
Pérdida de Información de
la configuración de los
equipos
El funcionario podría
tomar acciones que
comprometan la seguridad
de la información
Impacto
Criterio de
probabilidad de
ocurrencia
2
2
2
1
2
2
Grave
Grave
Grave
Medio
Pequeño
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
3
3
3
2
1
2
Medio
Pequeño
Pequeño
Medio
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
2
1
1
2
1
1
12
6
6
4
2
4
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Moderado
Bajo
Bajo
Bajo
Nivel del
riesgo
176
Amenaza
Fuego
Daño físico
Incumplimiento
en la
disponibilidad
del personal
Falsificación
de derechos
Abuso de
derechos
Amenaza
Tipo de
amenaza
Compromiso
de funciones
Tipo de
amenaza
No se puede dar soporte
informático oportuno en el
servicio
Acceso no autorizado a la
información (almacenada en
servidores, consolas de
administración, sistema de
backups y en estaciones de
trabajo)
Acceso no autorizado a la
información (almacenada en
servidores, consolas de
administración, sistema de
backups y en estaciones de
trabajo)
Acceso no autorizado al
servidor SFTP
Impacto
Probable
Poco
probable
Poco
probable
Poco
Probable
2
1
1
1
Muy grave
Medio
Medio
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
2
2
3
Pequeño
Medio
Medio
Medio
Pérdida
de inf.
por
caída
del
servicio
Criterio de
probabilidad de
ocurrencia
Poco
Probable
Impacto
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Vulnerabilidades
No se realiza un
mantenimiento periódico
del Sistema Contra
incendios
1
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
Muy
grave
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
Ausencia en el Personal
Asignación errada de
derechos de acceso al
servidor SFTP
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
Tabla 2.13. Valoración del riesgo Proyecto SICOEIR
4
1
2
2
2
16
Total
Criterio
Evaluación
del Riesgo
8
4
4
6
Total
Criterio
Evaluación
del Riesgo
Alto
Nivel del
riesgo
Moderado
Bajo
Bajo
Moderado
Nivel del
riesgo
177
Pérdida de
servicios
esenciales
Eventos
naturales
Pérdida de
suministro de
energía
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Climáticos
Sísmicos
No revisar
periódicamente la
conexión entre el
sistema de UPS y la red
de energía eléctrica en
el edificio.
No tener correctas
instalaciones eléctricas
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Altamente
Probable
Poco
Probable
Los equipos sensibles a
variaciones de voltaje
sufren daños.
Mal funcionamiento del
sistema de alimentación
ininterrumpida (UPS)
Probable
Daño de los equipos en
el Centro de Cómputo
Poco
Probable
4
1
2
1
1
Poco
Probable
Daño en los equipos
Los equipos sensibles a
variaciones de voltaje
sufren daños.
1
Poco
Probable
Accidentes de los
funcionarios al producirse
el evento.
1
1
Poco
Probable
Poco
Probable
Accidentes de los
funcionarios al producirse
el evento.
Daño físico
Falta de capacitación
del personal sobre cómo
reaccionar ante una
erupción volcánica
Falta de capacitación
del personal sobre cómo
reaccionar ante un
evento sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Mal funcionamiento del
dispositivo biométrico del
sistema de Control de
acceso al Centro de
Cómputo
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
Destrucción
del equipo
Volcánicos
Impacto
Vulnerabilidades
Amenaza
Tipo de
amenaza
Criterio de
probabilidad de
ocurrencia
Grave
Grave
Grave
Grave
Muy grave
Muy grave
Muy grave
Pequeño
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
3
3
3
4
4
4
1
Pequeño
Pequeño
Pequeño
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
1
1
1
2
2
4
4
1
12
3
6
6
8
16
16
1
Total
Criterio
Evaluación
del Riesgo
Moderado
Bajo
Moderado
Moderado
Moderado
Alto
Alto
Bajo
Nivel del
riesgo
178
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Escucha
encubierta
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Mal manejo de la
compartición de la
información
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Espionaje
remoto
El equipo no trabaja
adecuadamente
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Falla en el
equipo de
telecomunicaciones
Probable
Poco
Probable
Acceso no autorizado a
ciertos documentos
Poco
probable
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Los firewalls no trabajan
adecuadamente
Probable
Altamente
Probable
Poco
Probable
Los firewalls no trabajan
adecuadamente
Falla del sistema de
Alimentación
ininterrumpida (UPS)
Impacto
Vulnerabilidades
Amenaza
Criterio de
probabilidad de
ocurrencia
1
2
1
2
4
1
Medio
Grave
Medio
Grave
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
2
3
3
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
1
1
1
1
1
1
2
6
2
6
12
2
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Bajo
Moderado
Moderado
Bajo
Nivel del
riesgo
179
Compromiso
de la
información
Tipo de
amenaza
Manipulación
con software
Divulgación
Amenaza
Mal manejo de la
compartición de la
información
No tener soporte por
parte del proveedor del
software
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de
la DTT
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
Poco
Probable
Probable
Los firewalls no trabajan
adecuadamente
Probable
Distribución incorrecta de
información para usuarios
Mala disponibilidad del
servicio
Probable
Poco
Probable
Poco
Probable
Poco
probable
El software no funciona
correctamente
Acceso no autorizado a
ciertos documentos
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Acceso indebido a las
carpetas compartidas por
parte de usuarios no
autorizados
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Falta de control de
acceso a las carpetas
compartidas
Impacto
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
2
1
2
2
1
1
1
Grave
Medio
Medio
Grave
Medio
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
2
2
3
2
2
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
1
1
1
1
1
1
1
6
2
4
6
2
2
2
Total
Criterio
Evaluación
del Riesgo
Moderado
Bajo
Bajo
Moderado
Bajo
Bajo
Bajo
Nivel del
riesgo
180
Compromiso
de la
información
Tipo de
amenaza
Falla en la
conexión entre
servidores
Falta de
respaldos
Pérdida de la información
contenida en los archivos
de respaldo
Falla de los archivos de
respaldo
Probable
Pérdida parcial de la
información
Probable
Altamente
Probable
Pérdida de la información
de los archivos de
respaldos
Mala disponibilidad del
servicio
Muy
probable
Probable
Pérdida de información
de la configuración de los
equipos
Pérdida de la información
generada en los servicios
Poco
probable
Daño en la Base de
Datos
Falta de mantenimiento
de las bases de datos
No respaldar la
información generada
de forma periódica
No respaldar la
información de
configuración de los
servidores y equipos de
conectividad
Tener archivos de
respaldos en los mismos
equipos del Centro de
Cómputo principal
No se dimensione
correctamente el
espacio necesario para
respaldar la información
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de
la DTT
Poco
probable
Se consumen todos los
recursos de
procesamiento de los
equipos
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Manipulación
con software
Probable
Impacto
Vulnerabilidades
Amenaza
Criterio de
probabilidad de
ocurrencia
2
2
4
3
2
1
1
2
Muy grave
Grave
Muy grave
Muy grave
Medio
Medio
Medio
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
3
4
4
2
2
2
3
Pequeño
Pequeño
Muy
grave
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
1
1
4
1
1
1
1
1
8
6
64
12
4
2
2
6
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Muy alto
Moderado
Bajo
Bajo
Bajo
Moderado
Nivel del
riesgo
181
Fallas
técnicas
Tipo de
amenaza
Incumplimiento
en el
mantenimiento
del sistema de
información
Mal
funcionamiento
del software
Saturación del
sistema de
información
Falla del
equipo
Amenaza
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Falta de planificación de
la capacidad de
almacenamiento en los
servidores
Falta de planificación
sobre la capacidad de
procesamiento de la
información
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de
la DTT
Falta de planificación de
la capacidad de
almacenamiento en los
servidores
Falta de mantenimiento
de las bases de datos
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Vulnerabilidades
Probable
Poco
Probable
Daño en la Base de
Datos
Distribución incorrecta de
información para usuarios
Probable
Probable
Falta de capacidad de
almacenamiento en los
servidores
Mala disponibilidad del
servicio
Probable
Probable
Falta de capacidad de
almacenamiento en los
servidores
Se consumen todos los
recursos de
procesamiento de los
equipos
Poco
Probable
El equipo no trabaja
adecuadamente
Impacto
Criterio de
probabilidad de
ocurrencia
2
1
2
2
2
2
1
Medio
Grave
Medio
Muy grave
Medio
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
2
4
2
2
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
1
1
1
1
1
1
1
4
3
4
8
4
4
2
Total
Criterio
Evaluación
del Riesgo
Bajo
Bajo
Bajo
Moderado
Bajo
Bajo
Bajo
Nivel del
riesgo
182
Compromiso
de funciones
Error en el uso
Falta de mantenimiento
de las bases de datos
Uso del
software falso,
copiado o
desactualizado
Fallas
técnicas
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Administración
incorrecta de los
parámetros de
funcionamiento de los
firewalls
No llevar registro de las
modificaciones en las
configuraciones
realizadas en los
equipos de conectividad
No verificar la
actualización de la
información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Vulnerabilidades
Amenaza
Tipo de
amenaza
Probable
Probable
Probable
Pérdida de Información
de la configuración de los
equipos
Distribución incorrecta de
información para usuarios
Poco
probable
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Los firewalls no trabajan
adecuadamente
Poco
Probable
Poco
Probable
El equipo no trabaja
adecuadamente
Daño en la Base de
Datos
Impacto
Criterio de
probabilidad de
ocurrencia
2
2
2
1
1
1
Medio
Grave
Grave
Medio
Medio
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
3
2
2
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
1
1
1
1
1
1
4
6
6
2
2
3
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Moderado
Bajo
Bajo
Bajo
Nivel del
riesgo
183
Daño físico
Tipo de
amenaza
Compromiso
de funciones
Tipo de
amenaza
Fuego
Amenaza
Falsificación
de derechos
Abuso de
derechos
Error en el uso
Amenaza
El funcionario podría tomar
acciones que comprometan
la seguridad de la
información
Acceso indebido a las
carpetas compartidas por
parte de usuarios no
autorizados
Acceso no autorizado a la
información (almacenada en
servidores, consolas de
administración, sistema de
backups y en estaciones de
trabajo)
Acceso no autorizado a la
información (almacenada en
servidores, consolas de
administración, sistema de
backups y en estaciones de
trabajo)
Impacto
Poco
probable
Poco
probable
Poco
Probable
Poco
Probable
1
1
1
1
Medio
Medio
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Criterio de
probabilidad de
ocurrencia
Poco
Probable
Impacto
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Vulnerabilidades
No se realiza un
mantenimiento periódico
del Sistema Contra
incendios
1
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.15. Valoración del riesgo servicio Antivirus
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Falta de control de acceso
a las carpetas compartidas
Falta de conciencia acerca
de la seguridad
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
4
2
2
2
2
Muy
grave
Pérdida
de inf.
por
caída
del
servicio
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel
4
1
1
1
1
16
Total
Criterio
Evaluación
del Riesgo
2
2
2
2
Total
Criterio
Evaluación
del Riesgo
Alto
Nivel del
riesgo
Bajo
Bajo
Bajo
Bajo
Nivel del
riesgo
184
Pérdida de
servicios
esenciales
Eventos
naturales
Daño físico
Tipo de
amenaza
Pérdida de
suministro de
energía
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Climáticos
Sísmicos
Volcánicos
Destrucción
del equipo
Amenaza
No revisar
periódicamente la
conexión entre el sistema
de UPS y la red de
energía eléctrica en el
edificio.
No tener correctas
instalaciones eléctricas
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Altamente
Probable
Poco
Probable
Los equipos sensibles a
variaciones de voltaje
sufren daños.
Mal funcionamiento del
sistema de alimentación
ininterrumpida (UPS)
Probable
Daño de los equipos en
el Centro de Cómputo
Poco
Probable
4
1
2
1
1
Poco
Probable
Daño en los equipos
Los equipos sensibles a
variaciones de voltaje
sufren daños.
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
1
1
Poco
Probable
Mal funcionamiento del
dispositivo biométrico
del sistema de Control
de acceso al Centro de
Cómputo
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
Accidentes de los
funcionarios al
producirse el evento.
Poco
Probable
Impacto
Vulnerabilidades
Falta de capacitación del
personal sobre cómo
reaccionar ante una
erupción volcánica
Falta de capacitación del
personal sobre cómo
reaccionar ante un
evento sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Criterio de
probabilidad de
ocurrencia
Grave
Grave
Grave
Grave
Muy grave
Muy grave
Muy grave
Pequeño
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.15. Valoración del riesgo servicio Antivirus
3
3
3
3
4
4
4
1
Pequeño
Pequeño
Pequeño
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Pérdida
de inf.
por
caída
del
servicio
1
1
1
2
2
4
4
1
12
3
6
6
8
16
16
1
Total
Criterio
Evaluación
del Riesgo
Moderado
Bajo
Moderado
Moderado
Moderado
Alto
Alto
Bajo
Nivel del
riesgo
185
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Probable
Probable
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Robo de información
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Manipulación
con software
Divulgación
No tener soporte por
parte del proveedor del
software
Asignación errada de
derechos de acceso
Probable
Falla del sistema de
Alimentación
ininterrumpida (UPS)
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Escucha
encubierta
Altamente
Probable
El equipo no trabaja
adecuadamente
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Falla en el
equipo de
telecomunicaciones
Probable
Probable
El software no funciona
correctamente
Ingreso de usuarios no
autorizados al sistema
Muy
probable
Impacto
Vulnerabilidades
Amenaza
Criterio de
probabilidad de
ocurrencia
2
2
2
2
2
4
3
Medio
Muy grave
Muy grave
Grave
Muy grave
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.15. Valoración del riesgo servicio Antivirus
2
4
4
3
4
3
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
1
1
1
1
1
1
1
4
8
8
6
8
12
9
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Moderado
Moderado
Moderado
Moderado
Moderado
Nivel del
riesgo
186
Fallas
técnicas
Compromiso
de la
información
Tipo de
amenaza
Falla del
equipo
Falla en la
conexión entre
servidores
Detección de
la ubicación
Manipulación
con software
Amenaza
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
No realizar
mantenimiento
preventivo de los equipos
del área de trabajo
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No se realiza un
monitoreo periódico de
los enlaces de la red
institucional (LAN)
Modificación o
Eliminación de
Información en la Base
de Datos o el sistema
Tener administradores
de segundo nivel que
puedan hacer cambios
no autorizados
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
Acceso no autorizado al
Centro de Cómputo
Mal funcionamiento del
Control de acceso al
Centro de Cómputo
Muy
probable
3
3
Muy
probable
Daño del equipo
El equipo no trabaja
adecuadamente
3
2
Muy
probable
Probable
Pérdida de conexión con
los servidores (de bases
de datos, carpetas
compartidas, correo
electrónico, entre otros)
1
2
3
2
Mala disponibilidad del
servicio
Poco
probable
Probable
Muy
probable
Probable
Manipulación indebida
de los equipos
Manipulación indebida
de los equipos
Mala disponibilidad del
servicio
Impacto
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
Grave
Grave
Grave
Grave
Medio
Medio
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.15. Valoración del riesgo servicio Antivirus
3
3
3
3
2
2
3
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Medio
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
1
1
1
1
1
2
1
1
9
9
9
6
2
8
9
4
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Moderado
Moderado
Bajo
Moderado
Moderado
Bajo
Nivel del
riesgo
187
Compromiso
de funciones
Fallas
técnicas
Tipo de
amenaza
Error en el uso
Incumplimiento
en el
mantenimiento
del sistema de
información
Uso de
software falso,
copiado o
desactualizado
Procesamiento
ilegal de los
datos
Mal
funcionamiento
del software
Mal
funcionamiento
del equipo
Amenaza
El equipo no trabaja
adecuadamente
No se podrían
solucionar problemas de
forma rápida
Muy
probable
Muy
probable
Altamente
Probable
Limitación en la
instalación de
herramientas
No actualizar el
inventario de software
Ausencia de
mecanismos de
monitoreo
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Muy
probable
Daño del equipo
Probable
Muy
probable
Mala disponibilidad del
servicio
El software se vuelve
obsoleto
Muy
probable
Daño del equipo
Impacto
No realizar
mantenimiento
preventivo de los equipos
del área de trabajo
No realizar
mantenimiento
preventivo de los equipos
del área de trabajo
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
No se ha planificado una
renovación oportuna de
licencias (Antivirus,
Windows, etc.)
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
3
3
4
3
2
3
3
Grave
Medio
Grave
Grave
Grave
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.15. Valoración del riesgo servicio Antivirus
3
2
3
3
3
3
3
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
1
1
1
1
1
1
1
9
6
12
9
6
9
9
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Moderado
Moderado
Moderado
Moderado
Moderado
Nivel del
riesgo
188
Compromiso
de funciones
Compromiso
de funciones
Tipo de
amenaza
Incumplimiento
en la
disponibilidad
del personal
Falsificación
de derechos
Abuso de
derechos
Error en el uso
Amenaza
Ausencia en el Personal
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Falta de conciencia acerca
de la seguridad
No se puede dar soporte
informático oportuno en el
servicio
Probable
Probable
2
2
2
3
Muy
probable
Probable
4
3
2
Altamente
Probable
El equipo no se encuentra
protegido adecuadamente
contra virus
No se cuenten con el
número de licencias de
antivirus para todos los
funcionarios
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Muy
probable
Acceso no autorizado a la
información (almacenada
en servidores, consolas
de administración,
sistema de backups y en
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
No verificar la
actualización de la versión
del antivirus en los
equipos de usuario final
Mal dimensionamiento del
número de usuarios del
antivirus
Probable
Impacto
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
Muy grave
Muy grave
Muy grave
Medio
Grave
Grave
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.15. Valoración del riesgo servicio Antivirus
4
4
4
2
3
3
4
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída
del
servicio
1
1
1
1
1
1
1
8
8
8
6
12
9
8
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Moderado
Moderado
Moderado
Moderado
Moderado
Nivel del
riesgo
189
Pérdida de
servicios
esenciales
Eventos
naturales
Daño físico
Tipo de
amenaza
Fuego
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Climáticos
Sísmicos
Volcánicos
Mal mantenimiento de
los sistemas de Aire
Acondicionado
Falta de capacitación del
personal sobre cómo
reaccionar ante una
erupción volcánica
Falta de capacitación del
personal sobre cómo
reaccionar ante un
evento sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
No se realiza un
mantenimiento periódico
del Sistema Contra
incendios
Destrucción
del equipo
Vulnerabilidades
Daño de los equipos en
el Centro de Cómputo
Probable
Poco
Probable
2
1
1
Poco
Probable
Daño en los equipos
Los equipos sensibles a
variaciones de voltaje
sufren daños.
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
1
1
1
Poco
Probable
Poco
Probable
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Mal funcionamiento del
dispositivo biométrico
del sistema de Control
de acceso al Centro de
Cómputo
Impacto
Criterio de
probabilidad de
ocurrencia
Grave
Grave
Muy grave
Muy grave
Muy grave
Pequeño
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
3
4
4
4
1
4
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Amenaza
2.4.2.2.4. Activos de Servicios
Pequeño
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Muy
grave
Pérdida
de inf.
por
caída del
servicio
1
2
2
4
4
1
4
6
6
8
16
16
1
16
Total
Criterio
Evaluación
del Riesgo
Moderado
Moderado
Moderado
Alto
Alto
Bajo
Alto
Nivel del
riesgo
190
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Escucha
encubierta
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Los firewalls no
trabajan
adecuadamente
Administración incorrecta
de los parámetros de
funcionamiento de los
firewalls
Espionaje
remoto
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Falla del sistema de
Alimentación
ininterrumpida (UPS)
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
El equipo no trabaja
adecuadamente
Mal funcionamiento de
los servicios de la red
Mal funcionamiento del
sistema de
alimentación
ininterrumpida (UPS)
Probable
Probable
Altamente
Probable
Probable
Probable
Altamente
Probable
Los equipos sensibles a
variaciones de voltaje
sufren daños.
No tener correctas
instalaciones eléctricas
No revisar
periódicamente la
conexión entre el
sistema de UPS y la red
de energía eléctrica en el
edificio.
Conexión deficiente de
los cables
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Poco
Probable
Impacto
Vulnerabilidades
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el
equipo de
telecomunicaciones
Pérdida de
suministro de
energía
Amenaza
Criterio de
probabilidad de
ocurrencia
2
2
4
2
2
4
1
Medio
Medio
Grave
Medio
Medio
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
3
2
2
3
3
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
1
1
1
1
4
4
12
4
4
12
3
Total
Criterio
Evaluación
del Riesgo
Bajo
Bajo
Moderado
Bajo
Bajo
Moderado
Bajo
Nivel del
riesgo
191
Compromiso
de la
información
Tipo de
amenaza
Manipulación
con software
Datos
provenientes
de fuentes no
confiables
Divulgación
Hurto de
equipo
Escucha
encubierta
Amenaza
No deshabilitar puertos
no utilizados en equipos
de conectividad
Mala administración de
los registros de
direcciones MAC de los
equipos para acceso a la
red inalámbrica y
telefonía IP
Tener administradores
de segundo nivel que
puedan hacer cambios
no autorizados
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
Administración incorrecta
de los parámetros de
funcionamiento de los
firewalls
Administración
inadecuada de los
equipos del área de
trabajo disponibles para
su uso
Vulnerabilidades
Probable
Probable
El equipo no puede
conectarse a la red
inalámbrica
Modificación o
Eliminación de
Información en la Base
de Datos o el sistema
Muy
probable
Probable
Probable
Error en la
disponibilidad de los
equipos
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Acceso no autorizado a
la información en los
equipos de la red
Probable
Muy
probable
Los firewalls no
trabajan
adecuadamente
Robo de información
Impacto
Criterio de
probabilidad de
ocurrencia
2
2
3
2
2
2
3
Medio
Medio
Pequeño
Medio
Muy grave
Medio
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
1
2
4
2
3
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
1
1
1
1
4
4
3
4
8
4
9
Total
Criterio
Evaluación
del Riesgo
Bajo
Bajo
Bajo
Bajo
Moderado
Bajo
Moderado
Nivel del
riesgo
192
Compromiso
de la
información
Tipo de
amenaza
Falla en la
conexión entre
servidores
Falta de
respaldos
Manipulación
con software
Amenaza
Pérdida de conexión
con los servidores (de
bases de datos,
carpetas compartidas,
correo electrónico,
entre otros)
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
Probable
Muy
probable
Pérdida de información
de la configuración de
los equipos
Mala disponibilidad del
servicio
Muy
probable
Mala disponibilidad del
servicio
Muy
probable
Probable
Los firewalls no
trabajan
adecuadamente
Falla en la conexión a
los servidores de
réplica
Probable
Falla de autenticación
de los usuarios
mediante Active
Directory
Administración
inadecuada de las
cuentas de usuario en
Active Directory
Administración incorrecta
de los parámetros de
funcionamiento de los
firewalls
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
No respaldar la
información de
configuración de los
servidores y equipos de
conectividad
No se realiza un
monitoreo periódico de
los enlaces de la red
institucional (LAN)
Probable
Impacto
Vulnerabilidades
Criterio de
probabilidad de
ocurrencia
2
3
3
3
2
2
2
Medio
Grave
Grave
Grave
Medio
Medio
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
3
3
2
2
3
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Pequeño
Pequeño
Pequeño
Medio
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
2
1
1
1
4
9
9
18
4
4
6
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Moderado
Alto
Bajo
Bajo
Moderado
Nivel del
riesgo
193
Compromiso
de funciones
Fallas
técnicas
Tipo de
amenaza
Error en el uso
Procesamiento
ilegal de los
datos
Incumplimiento
en el
mantenimiento
del sistema de
información
Mal
funcionamiento
del software
Mal
funcionamiento
del equipo
Falla del
equipo
Amenaza
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Administración
inadecuada de los
equipos del área de
trabajo disponibles para
su uso
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
Falta de mantenimiento
del direccionamiento IP
(DHCP)
No realizar la
renovación oportuna del
dominio de la página
web
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
Vulnerabilidades
Probable
Muy
probable
Se podría producir la
suplantación de la
página web
Falla en la conexión a
los servidores de
réplica
Probable
Muy
probable
Funcionamiento
incorrecto del DHCP
El equipo no trabaja
adecuadamente
Probable
Probable
Error en la
disponibilidad de los
equipos
Mala disponibilidad del
servicio
Probable
El equipo no trabaja
adecuadamente
Impacto
Criterio de
probabilidad de
ocurrencia
2
3
2
3
2
2
2
Medio
Grave
Grave
Muy grave
Medio
Muy grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
3
4
2
4
2
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Pequeño
Pequeño
Medio
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
2
1
1
1
1
4
9
12
12
4
8
4
Total
Criterio
Evaluación
del Riesgo
Bajo
Moderado
Moderado
Moderado
Bajo
Moderado
Bajo
Nivel del
riesgo
194
Compromiso
de funciones
Tipo de
amenaza
Abuso de
derechos
Error en el uso
Amenaza
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Falta de conciencia
acerca de la seguridad
Uso incorrecto de
Software o Hardware
Mal funcionamiento del
equipo y del software
instalado
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Pérdida de Información
de la configuración de
los equipos
Probable
Probable
Probable
Muy
probable
Probable
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Los firewalls no
trabajan
adecuadamente
Probable
Impacto
Vulnerabilidades
Administración incorrecta
de los parámetros de
funcionamiento de los
firewalls
No llevar registro de las
modificaciones en las
configuraciones
realizadas en los equipos
de conectividad
Criterio de
probabilidad de
ocurrencia
2
2
2
3
2
2
Medio
Medio
Grave
Muy grave
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
3
4
2
2
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
1
1
1
1
1
1
4
4
6
12
4
4
Total
Criterio
Evaluación
del Riesgo
Bajo
Bajo
Moderado
Moderado
Bajo
Bajo
Nivel del
riesgo
195
Probable
2
2
2
Muy grave
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
3
2
Impacto
Pérdida de información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Vulnerabilidades
No se realiza un
mantenimiento periódico
del Sistema Contra
incendios
Fuego
Daño físico
Probabilidad de
ocurrencia
Poco
Probable
1
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
No se puede dar
soporte informático
oportuno en el servicio
Acceso no autorizado al
servicio o aplicación
Mal manejo de cuentas
de usuario para la
autenticación de
usuarios en el sistema
LDAP (Active Directory)
Ausencia en el Personal
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Probable
Probable
Impacto
Vulnerabilidades
Amenaza
Incumplimiento
en la
disponibilidad
del personal
Falsificación
de derechos
Amenaza
Tipo de
amenaza
Compromiso
de funciones
Tipo de
amenaza
Criterio de
probabilidad de
ocurrencia
Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP
Muy
grave
Pérdida
de inf.
por caída
del
servicio
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por
caída del
servicio
4
1
1
1
16
Total
Criterios
Evaluación
de Riesgo
8
6
4
Total
Criterio
Evaluación
del Riesgo
Alto
Nivel del
Riesgo
Moderado
Moderado
Bajo
Nivel del
riesgo
196
Pérdida de
servicios
esenciales
Eventos
naturales
Daño físico
Tipo de
amenaza
Falla en el
sistema en el
suministro de
agua y aire
acondicionado
Pérdida de
suministro de
energía
Climáticos
Sísmicos
Volcánicos
Destrucción del
equipo
Amenaza
Daño de los equipos en
el Centro de Cómputo
Los equipos sensibles a
variaciones de voltaje
sufren daños.
Mal mantenimiento de
los sistemas de Aire
Acondicionado
No tener correctas
instalaciones eléctricas
Poco
Probable
Probable
Poco
Probable
1
Poco
Probable
Daño en los equipos
Los equipos sensibles a
variaciones de voltaje
sufren daños.
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
1
2
1
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
1
1
Poco
Probable
Mal funcionamiento del
dispositivo biométrico
del sistema de Control
de acceso al Centro de
Cómputo
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
El equipo se vuelve
obsoleto
Poco
Probable
Impacto
Vulnerabilidades
No realizar la
renovación oportuna de
equipos
Falta de capacitación
del personal sobre
cómo reaccionar ante
una erupción volcánica
Falta de capacitación
del personal sobre
cómo reaccionar ante
un evento sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Probabilidad de
ocurrencia
Grave
Grave
Grave
Muy grave
Muy grave
Muy grave
Medio
Pequeño
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
3
3
3
4
4
4
2
1
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Medio
Medio
Muy
grave
Muy
grave
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
2
2
4
4
1
1
3
6
6
8
16
16
2
1
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Moderado
Alto
Alto
Bajo
Bajo
Nivel del
Riesgo
197
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Espionaje
remoto
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el
equipo de
telecomunicaciones
Pérdida de
suministro de
energía
Amenaza
Monitoreo inadecuado
de los enlaces WAN
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Muy
probable
Altamente
Probable
Probable
El equipo no trabaja
adecuadamente
Falla del sistema de
Alimentación
ininterrumpida (UPS)
Muy
probable
Probable
Mal funcionamiento de
los servicios de la red
Monitoreo inadecuado
de los enlaces WAN
Altamente
Probable
Mal funcionamiento
del sistema de
alimentación
ininterrumpida (UPS)
Impacto
Mal mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida (UPS)
No revisar
periódicamente la
conexión entre el
sistema de UPS y la
red de energía
eléctrica en el edificio.
Conexión deficiente de
los cables
No se tiene una
documentación de los
monitoreos que se
realizan a los enlaces
WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Vulnerabilidades
Probabilidad de
ocurrencia
3
4
2
3
2
4
Muy grave
Grave
Medio
Muy grave
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
3
2
4
3
3
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
12
12
4
12
6
12
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Bajo
Moderado
Moderado
Moderado
Nivel del
Riesgo
198
Compromiso
de la
información
Tipo de
amenaza
Manipulación
con software
No se hace una
verificación periódica de
la seguridad de los
switches de acceso en
cada piso
Tener administradores
de segundo nivel que
puedan hacer cambios
no autorizados
Datos
provenientes de
fuentes no
confiables
Manipulación
con hardware
No deshabilitar puertos
no utilizados en equipos
de conectividad
Divulgación
Robo de información
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
Escucha
encubierta
Altamente
Probable
Probable
Modificación o
Eliminación de
Información en la Base
de Datos o el sistema
Altamente
Probable
Probable
Muy
probable
Probable
Manipulación no
autorizada de los
equipos expuestos
Acceso no autorizado a
la información en los
equipos de la red
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y
estaciones de trabajo)
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y
estaciones de trabajo)
Impacto
Vulnerabilidades
Amenaza
Probabilidad de
ocurrencia
2
4
4
2
3
2
Medio
Medio
Medio
Medio
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
2
2
3
2
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
4
8
8
4
9
4
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Bajo
Moderado
Bajo
Nivel del
Riesgo
199
Fallas
técnicas
Compromiso
de la
información
Tipo de
amenaza
Falla del equipo
Falla en la
conexión entre
servidores
Falta de
respaldos
Manipulación
con software
Amenaza
No se tiene una
planificación de
monitoreos periódicos
a los enlaces WAN
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
No realizar
mantenimiento técnico
de equipos en el
Centro de Cómputo
No se realiza un
monitoreo periódico de
los enlaces de la red
institucional (LAN)
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
No respaldar la
información de
configuración de los
servidores y equipos
de conectividad
Vulnerabilidades
Muy
probable
Probable
Poco
Probable
Falla en la conexión a
los servidores de
réplica
Mala disponibilidad del
servicio
Daño de los equipos
del Centro de
Cómputo
Probable
Probable
Pérdida de
información de la
configuración de los
equipos
Pérdida de conexión
con los servidores (de
bases de datos,
carpetas compartidas,
correo electrónico,
entre otros)
Probable
Mala disponibilidad del
servicio
Impacto
Probabilidad de
ocurrencia
1
2
3
2
2
2
Muy grave
Grave
Grave
Medio
Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
4
3
3
2
3
3
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
4
6
9
4
6
6
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Bajo
Moderado
Moderado
Nivel del
Riesgo
200
Procesamiento
ilegal de los
datos
Error en el uso
Compromiso
de funciones
Incumplimiento
en el
mantenimiento
del sistema de
información
Mal
funcionamiento
del software
Mal
funcionamiento
del equipo
Falla del equipo
Amenaza
Acciones no
autorizadas
Fallas
técnicas
Tipo de
amenaza
No se tiene una
planificación de
monitoreos periódicos a
los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Falta de mantenimiento
del direccionamiento IP
(DHCP)
Administración
incorrecta de los
parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No realizar
mantenimiento técnico
de equipos en el Centro
de Cómputo
No realizar un
monitoreo periódico de
la disponibilidad de los
servicios y sistemas de
la DTT
Vulnerabilidades
El equipo no trabaja
adecuadamente
Falla en la conexión a
los servidores de
réplica
Funcionamiento
incorrecto del DHCP
Mala disponibilidad del
servicio
Daño de los equipos
del Centro de Cómputo
El equipo no trabaja
adecuadamente
Impacto
Probable
Muy
probable
Muy
probable
Probable
Poco
Probable
Probable
Probabilidad de
ocurrencia
2
3
3
2
1
2
Medio
Grave
Muy grave
Grave
Muy grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
3
4
3
4
2
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
4
9
12
6
4
4
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Moderado
Moderado
Bajo
Bajo
Nivel del
Riesgo
201
Compromiso
de funciones
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Falsificación de
derechos
Uso incorrecto de
Software o Hardware
No llevar registro de las
modificaciones en las
configuraciones
realizadas en los equipos
de conectividad
Abuso de
derechos
Error en el uso
Compromiso
de funciones
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Falta de conciencia
acerca de la seguridad
Vulnerabilidades
Mal manejo de
contraseñas (de
servidores, consolas de
administración, sistema
de backups y estaciones
de trabajo)
Amenaza
Tipo de
amenaza
Mal funcionamiento del
equipo y del software
instalado
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Pérdida de Información
de la configuración de
los equipos
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
Acceso no autorizado a
la información
(almacenada en
servidores, consolas de
administración, sistema
de backups y en
estaciones de trabajo)
Impacto
Probable
Probable
Poco
Probable
Muy
probable
Probable
Probable
Probabilidad de
ocurrencia
2
2
1
3
2
2
Medio
Medio
Grave
Grave
Medio
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
2
2
3
3
2
3
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
4
4
3
9
4
6
Total
Criterios
Evaluación
de Riesgo
Bajo
Bajo
Bajo
Moderado
Bajo
Moderado
Nivel del
Riesgo
202
Daño físico
Tipo de
amenaza
Compromiso
de funciones
Tipo de
amenaza
No se realiza un
mantenimiento periódico
del Sistema Contra
incendios
Fuego
No realizar la renovación
oportuna de equipos
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
Vulnerabilidades
Destrucción
del equipo
Probable
Probable
2
2
Muy Grave
Grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Pérdida de
información
almacenada en los
equipos del edificio
matriz en caso de
producirse un incendio
Mal funcionamiento
del dispositivo
biométrico del sistema
de Control de acceso
al Centro de Cómputo
El equipo se vuelve
obsoleto
Impacto
Probable
Poco
Probable
Poco
Probable
Probabilidad de
ocurrencia
2
1
1
Muy grave
Pequeño
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.18. Valoración del riesgo servicio Telefonía IP
No se puede dar
soporte informático
oportuno en el servicio
Acceso no autorizado al
servicio o aplicación
Mal manejo de cuentas
de usuario para la
autenticación de
usuarios en el sistema
LDAP (Active Directory)
Ausencia en el Personal
Impacto
Vulnerabilidades
Amenaza
Incumplimiento
en la
disponibilidad
del personal
Falsificación de
derechos
Amenaza
Probabilidad de
ocurrencia
4
1
4
4
3
Tabla 2.17. Valoración del riesgo servicio Switching y Routing
Pequeño
Pequeño
Muy grave
Pérdida
de inf.
por caída
del
servicio
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
4
1
1
8
1
16
Total
Criterios
Evaluación
de Riesgo
8
6
Total
Criterios
Evaluación
de Riesgo
Moderado
Bajo
Alto
Nivel del
Riesgo
Moderado
Moderado
Nivel del
Riesgo
203
Pérdida de
servicios
esenciales
Eventos
naturales
Tipo de
amenaza
Falla en el
equipo de
telecomunicaciones
Pérdida de
suministro de
energía
Falla en el
sistema en el
suministro de
agua y aire
acondicionado
Climáticos
Sísmicos
Volcánicos
Amenaza
Mal funcionamiento de
los servicios de la red
Mal funcionamiento
del sistema de
alimentación
ininterrumpida (UPS)
No revisar periódicamente
la conexión entre el
sistema de UPS y la red
de energía eléctrica en el
edificio.
Conexión deficiente de los
cables
Poco
Probable
Los equipos sensibles
a variaciones de
voltaje sufren daños.
No tener correctas
instalaciones eléctricas
Muy
probable
Altamente
Probable
Probable
Daño de los equipos
en el Centro de
Cómputo
Poco
Probable
3
4
1
2
1
1
Poco
Probable
Daño en los equipos
Los equipos sensibles
a variaciones de
voltaje sufren daños.
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
1
Poco
Probable
Accidentes de los
funcionarios al
producirse el evento.
Impacto
Mal mantenimiento de los
sistemas de Aire
Acondicionado
Falta de capacitación del
personal sobre cómo
reaccionar ante una
erupción volcánica
Falta de capacitación del
personal sobre cómo
reaccionar ante un evento
sísmico
Filtración de agua en la
estructura del edificio
Desestabilización de la
red de energía eléctrica
en el sector del edificio
matriz
Vulnerabilidades
Probabilidad de
ocurrencia
Pequeño
Grave
Grave
Grave
Grave
Muy grave
Muy grave
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.18. Valoración del riesgo servicio Telefonía IP
1
3
3
3
3
4
4
4
Pequeño
Pequeño
Pequeño
Pequeño
Medio
Medio
Muy grave
Muy grave
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
2
2
4
4
3
12
3
6
6
8
16
16
Total
Criterios
Evaluación
de Riesgo
Bajo
Moderado
Bajo
Moderado
Moderado
Moderado
Alto
Alto
Nivel del
Riesgo
204
Compromiso
de la
información
Pérdida de
servicios
esenciales
Tipo de
amenaza
Manipulación
con software
Datos
provenientes
de fuentes no
confiables
Hurto de
equipo
Administración
inadecuada de los
equipos del área de
trabajo disponibles para
su uso
Mala administración de
los registros de
direcciones MAC de los
equipos para acceso a la
red inalámbrica y telefonía
IP
No deshabilitar puertos no
utilizados en equipos de
conectividad
Administración
inadecuada de las
cuentas de usuario en
Active Directory
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
Mal mantenimiento de los
Sistemas de Alimentación
Ininterrumpida (UPS)
Mala disponibilidad del
servicio
3
2
Probable
Muy
probable
2
3
4
4
2
Probable
Muy
probable
El equipo no puede
conectarse a la red
inalámbrica
Acceso no autorizado
a la información en los
equipos de la red
Falla de autenticación
de los usuarios
mediante Active
Directory
Altamente
Probable
Altamente
Probable
Probable
Error en la
disponibilidad de los
equipos
Falla del sistema de
Alimentación
ininterrumpida (UPS)
El equipo no trabaja
adecuadamente
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Falla en el
equipo de
telecomunicaciones
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Impacto
Vulnerabilidades
Amenaza
Probabilidad de
ocurrencia
Medio
Grave
Pequeño
Medio
Muy grave
Grave
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.18. Valoración del riesgo servicio Telefonía IP
2
3
1
2
4
3
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
1
6
6
2
6
16
12
4
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Bajo
Moderado
Alto
Moderado
Bajo
Nivel del
Riesgo
205
Fallas
técnicas
Falla en la
conexión entre
servidores
Compromiso
de la
información
Mal
funcionamiento
del software
Mal
funcionamiento
del equipo
Falla del
equipo
Amenaza
Tipo de
amenaza
Probable
Daño del equipo
Muy
probable
Altamente
Probable
Error en la
disponibilidad de los
equipos
Mala disponibilidad del
servicio
Probable
Probable
Daño del equipo
El equipo no trabaja
adecuadamente
Muy
probable
Pérdida de conexión
con los servidores (de
bases de datos,
carpetas compartidas,
correo electrónico,
entre otros)
No se realiza un
monitoreo periódico de los
enlaces de la red
institucional (LAN)
Mala disponibilidad del
servicio
Probable
Impacto
Vulnerabilidades
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
No realizar mantenimiento
preventivo de los equipos
del área de trabajo
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Administración
inadecuada de los
equipos del área de
trabajo disponibles para
su uso
No realizar mantenimiento
preventivo de los equipos
del área de trabajo
No realizar un monitoreo
periódico de la
disponibilidad de los
servicios y sistemas de la
DTT
Probabilidad de
ocurrencia
3
2
4
2
2
3
2
Medio
Muy grave
Muy grave
Medio
Muy grave
Medio
Medio
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.18. Valoración del riesgo servicio Telefonía IP
2
4
4
2
4
2
2
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
1
6
8
16
4
8
6
4
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Alto
Bajo
Moderado
Moderado
Bajo
Nivel del
Riesgo
206
Fallas
técnicas
Compromiso
de funciones
Incumplimiento
en el
mantenimiento
del sistema de
información
Incumplimiento
en la
disponibilidad
del personal
Error en el uso
Amenaza
Tipo de
amenaza
Ausencia en el Personal
Falta de conciencia
acerca de la seguridad
Uso incorrecto de
Software o Hardware
No realizar mantenimiento
preventivo de los equipos
del área de trabajo
Falta de mantenimiento
del direccionamiento IP
(DHCP)
Administración incorrecta
de los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No llevar registro de las
modificaciones en las
configuraciones
realizadas en los equipos
de conectividad
Vulnerabilidades
Probable
Pérdida de
Información de la
configuración de los
equipos
No se puede dar
soporte informático
oportuno en el servicio
Probable
Muy
probable
Muy
probable
Probable
El equipo no trabaja
adecuadamente
Mal funcionamiento
del equipo y del
software instalado
El funcionario podría
tomar acciones que
comprometan la
seguridad de la
información
Probable
Probable
Funcionamiento
incorrecto del DHCP
Daño del equipo
Impacto
Probabilidad de
ocurrencia
2
3
3
2
2
2
2
Muy Grave
Muy grave
Medio
Medio
Medio
Medio
Muy grave
Impacto de
acuerdo al
tiempo sin
funcionamiento del
servicio
Tabla 2.18. Valoración del riesgo servicio Telefonía IP
4
4
2
2
2
2
4
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pequeño
Pérdida
de inf.
por caída
del
servicio
1
1
1
1
1
1
1
8
12
6
4
4
4
8
Total
Criterios
Evaluación
de Riesgo
Moderado
Moderado
Moderado
Bajo
Bajo
Bajo
Moderado
Nivel del
Riesgo
207
208
3.CAPÍTULO 3
TRATAMIENTO DE LOS RIESGOS PRESENTES EN LA
DIRECCIÓN NACIONAL DE DESARROLLO
TECNOLÓGICO EN TELECOMUNICACIONES
3.1. INTRODUCCIÓN
El presente capítulo describirá el tratamiento a los Riesgos en la Seguridad
de la Información presentes en la Dirección Nacional de Desarrollo Tecnológico en
Telecomunicaciones (DTT), que se encontraron en base al Análisis de riesgos en la
seguridad de la información descritos en el Capítulo 2 (Análisis de Riesgos en la
Seguridad de la Información en la Dirección Nacional de Desarrollo Tecnológico en
Telecomunicaciones).
Figura 3.1. Tratamiento de riesgos en la seguridad de la información
209
El tratamiento de estos Riesgos en la Seguridad de la Información se realiza
en base a la aplicación de la Norma 27005 [2], en su sección 9: Tratamiento del
riego de la seguridad de la información, y con la aplicación de los controles
necesarios de la Norma 27002 [6]. En la Figura 3.1 se puede observar una
esquematización de la fase de tratamiento del riesgo.
3.2. TRATAMIENTO DE RIESGOS EN LA SEGURIDAD DE LA
INFORMACIÓN
Para realizar el tratamiento de riesgos en la seguridad de la información, se
analizan las cuatro opciones disponibles: reducción, retención, evitación y
transferencia.
3.2.1. REDUCCIÓN DEL RIESGO
Para la reducción de los riesgos en la DTT, se plantearán los controles
necesarios, de acuerdo a la Norma 27002 [6], dependiendo de las vulnerabilidades
encontradas en los servicios de la DTT analizados.
3.2.2. RETENCIÓN DEL RIESGO
Dependiendo de la evaluación del riesgo, se puede tomar la decisión sobre
la retención de riesgo. Si el nivel del riesgo satisface los niveles para su aceptación,
no es necesario implementar controles adicionales y el riesgo se puede retener.
Debido a que la DTT tiene restricciones de presupuesto para realizar sus
actividades, no se puede determinar para qué riesgos se puede hacer una evitación,
porque la determinación de los costos de implementación de los controles de
seguridad considerados está fuera del alcance de este proyecto.
3.2.3. EVITACIÓN DEL RIESGO
Para la evitación de un riesgo en particular, se deben evadir las actividades
o acciones que den origen al mismo, principalmente en los casos en los que el
riesgo se considera muy alto o los costos para implementar otras opciones de
210
tratamiento del riesgo exceden los beneficios, por lo que queda a consideración de
la Dirección el realizar la evitación para los riesgos que considere necesario.
3.2.4. TRANSFERENCIA DEL RIESGO
Dependiendo de la evaluación del riesgo, se pueden transferir los mismos a
otra parte que pueda gestionarlos de manera más eficaz, para lo cual previamente
se debe considerar que los riesgos pueden ser compartidos con partes externas, y
además en el proceso de transferencia se pueden crear riesgos nuevos o modificar
los riesgos existes, por lo cual puede ser necesario un tratamiento adicional para
los mismos.
Se puede realizar la transferencia del riesgo, en el caso de que un servicio
de la DTT pase a formar parte de otra Dirección, en este caso, el manejo de la
gestión del riesgo para ese servicio será transferido con sus controles y
recomendaciones para minimizar el riesgo.
3.2.5. IDENTIFICACIÓN DE LOS CONTROLES DE LA NORMA NTE INENISO/IEC 27002:2009 PARA LA DTT
En esta parte del desarrollo del sistema, se realiza la identificación de
controles de la Norma 27002 [6], analizando su aplicabilidad en la DTT; esta
recopilación de información se realizó durante el periodo en el cual se cumplieron
actividades que implicaban la manipulación de los servicios, adicional a las
entrevistas realizadas a cada uno de los funcionarios a cargo de los diferentes
servicios.
Dentro de la Norma 27002 [6] se tienen 11 categorías sobre controles de la
seguridad de la información.
Las categorías antes mencionadas son:
a) Política de la seguridad
b) Organización de la seguridad de la información
c) Gestión de activos
d) Seguridad de los recursos humanos
e) Seguridad física y del entorno
f) Gestión de operaciones y comunicaciones
g) Control del acceso
211
h) Adquisición, desarrollo y mantenimiento de sistemas de información
i) Gestión de los incidentes de la seguridad de la información
j) Gestión de la continuidad del negocio
k) Cumplimiento
3.2.5.1. Política de la seguridad
3.2.5.1.1. Documento de la política de la seguridad de la información
“La dirección debería aprobar un documento de política de la seguridad de
la información y lo debería publicar y comunicar a todos los empleados y partes
externas pertinentes”.
Actualmente la DTT está creando un documento que contenga la política de
seguridad de la información, por lo que para la realización de este proyecto no se
toman en cuenta políticas de seguridad debido a que no se encuentran definidas.
3.2.5.1.2. Revisión de la política de la seguridad de la información
No se aplicará este control porque aún no se tiene un documento de la
política de la seguridad de la información para que sea revisado.
3.2.5.2. Organización de la seguridad de la información
En la DTT se tienen algunas prácticas de seguridad de la información, que
son tomadas en cuenta en el cumplimiento de sus actividades, pero estas prácticas
de seguridad no están formalizadas en ningún documento, por lo que se pueden
considerar los siguientes controles de la Norma 27002 [6] como recomendaciones
para la elaboración del documento de políticas de seguridad de la información.
·
Compromiso de la dirección con la seguridad de la información
·
Coordinación de la seguridad de la información
·
Asignación de responsabilidades para la seguridad de la información
·
Proceso de autorización para los servicios de procesamiento de la
información
·
Acuerdos sobre confidencialidad
·
Contacto con las autoridades
·
Contactos con grupos de interés especiales
212
·
Revisión independiente de la seguridad de la información
·
Identificación de los riesgos relacionados con las partes externas
·
Consideraciones de la seguridad cuando se trata con los clientes
·
Consideraciones de la seguridad en los acuerdos con terceras partes
3.2.5.3. Gestión de activos
3.2.5.3.1. Inventario de activos
“Todos los activos deberían estar claramente identificados y se debería
elaborar y mantener un inventario de todos los activos importantes”.
Se tiene un inventario de los activos a cargo de cada funcionario de la DTT,
los cuales se pueden clasificar de acuerdo a los tipos de activos: de información,
físicos, de software, de servicios.
Adicionalmente se pueden clasificar los activos considerando el personal y
sus calificaciones, habilidades y experiencias, y la reputación e imagen de la
organización, lo cual dependerá de la Dirección encargada de gestionar los
Recursos Humanos.
3.2.5.3.2. Responsable de los activos
“Toda la información y los activos asociado con los servicios de
procesamiento de información deberían ser asignada a una parte de la organización
que actúa como responsable”.
Este control se cumple porque, para cada sistema y servicio a cargo de la
DTT, se designa un funcionario responsable del mismo, que será el encargado de
su administración.
3.2.5.3.3. Uso aceptable de los activos
“Se deben identificar, documentar e implementar las reglas sobre el uso
aceptable de la información y de los activos asociados con el procesamiento de la
información”.
Este control no se cumple en la DTT, por lo cual se deben establecer reglas
para el uso aceptable de activos, por ejemplo, para el uso de correo electrónico y
213
de Internet, y para el uso de dispositivos móviles institucionales fuera de las
instalaciones de la institución.
3.2.5.3.4. Directrices de clasificación
“La información se debería clasificar en términos de su valor, de los
requisitos legales, de la sensibilidad y la importancia para la organización”.
En la DTT se tienen diferentes capas de seguridad a nivel de servidores,
debido a que se considera la sensibilidad e importancia de la información.
3.2.5.3.5. Etiquetado y manejo de la información
“Se debería desarrollar e implementar un conjunto de procedimientos
adecuados para el etiquetado y el manejo de la información de acuerdo al esquema
de clasificación adoptado por la organización”.
Una vez realizada la clasificación de la información según su nivel de
importancia, se debe implementar un procedimiento de etiquetado, incluyendo
procedimientos para cadena de custodia y registro de cualquier evento importante
de la seguridad, y debe aplicarse a los activos de información en formatos físico y
electrónico;
los
elementos
a
considerar
incluyen:
informes
impresos,
presentaciones en pantallas, medio grabados (cintas, discos, discos duros externos,
etc.), mensajes electrónicos y transferencia de archivos.
En la DTT se tiene etiquetado para la información contenida en las bases de
datos y sus respectivos respaldos, pero en lo relacionado al almacenamiento de
información contenida en carpetas compartidas no se tienen registros sobre el
etiquetado usado.
3.2.5.4. Seguridad de los recursos humanos
3.2.5.4.1. Funciones y responsabilidades
“Se deberían definir y documentar los funciones y responsabilidades de los
empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo
con la política de la seguridad de la información de la organización”.
214
3.2.5.4.2. Términos y condiciones laborales
“Como parte de su obligación contractual, los empleados, contratistas y
usuarios de terceras partes deberían estar de acuerdo y firmar los términos y
condiciones de su contrato laboral, el cual debe establecer sus responsabilidades
y las de la organización con relación a la seguridad de la información”.
Para el cumplimiento de estos controles (3.2.5.4.1 y 3.2.5.4.2), la Dirección
de Talento Humano de la Institución es la encargada de hacer firmar al empleado
un acuerdo de confidencialidad de la información, de acuerdo a los lineamientos de
seguridad establecidos por esta Dirección.
En lo relacionado a contratistas y usuarios de terceras partes, se contemplan
cláusulas al momento de plantear los contratos relacionados a los proyectos que
realiza la DTT, que hagan que se cumplan las funciones y responsabilidades de los
participantes de dichos contratos en lo referente a la seguridad de la información.
3.2.5.4.3. Selección
“Se deberían realizar revisiones para la verificación de antecedentes de los
candidatos a ser empleados, contratistas o usuarios de terceras partes, de acuerdo
con los reglamentos, la ética y las leyes pertinentes, y deben ser proporcionales a
los requisitos del negocio, la clasificación de la información a la cual se va a tener
acceso y los riesgos percibidos”.
El cumplimiento de este control es de responsabilidad de la Dirección de
Talento Humano de la Institución; además se debe considerar que para la
adjudicación de contratos para nuevos proyectos dentro de la Institución, se utiliza
el Portal de Compras Públicas.
3.2.5.4.4. Responsabilidades de la dirección
“La dirección debería exigir que los empleados, contratistas y usuarios de
terceras partes apliquen la seguridad según las políticas y los procedimientos
establecidos por la organización”.
Una vez que los empleados, contratistas y usuarios de terceras partes firman
sus respectivos contratos, están obligados a cumplir con los lineamientos de
seguridad ahí establecidos, y que en caso de incumplimiento contemplan
215
sanciones; la DTT se encarga de verificar el cumplimiento de los lineamientos de
seguridad para sus proyectos y para los funcionarios de la misma.
3.2.5.4.5. Educación, formación y concienciación sobre la seguridad de la información
“Todos los empleados de la organización y, cuando sea pertinente, los
contratistas y los usuarios de terceras partes deberían recibir formación adecuada
en concienciación y actualizaciones regulares sobre las políticas y los
procedimientos de la organización, según sea pertinente para sus funciones
laborales”.
Dentro de la Institución no se han realizado capacitaciones al personal sobre
la importancia de la seguridad de la información y las diferentes formas de
implementar seguridad de la información en sus tareas.
3.2.5.4.6. Proceso disciplinario
“Debería existir un proceso disciplinario formal para los empleados que
hayan cometido alguna violación de la seguridad”.
Lo relacionado con este control es tratado por la Dirección de Talento
Humano de la Institución.
3.2.5.4.7. Responsabilidades en la terminación del contrato
“Se deberían definir y asignar claramente las responsabilidades para llevar
a cabo la terminación o el cambio de la contratación laboral”.
La terminación de un contrato depende del tiempo de duración del mismo, y
es de responsabilidad de la Dirección de Talento Humano y de los propios
funcionarios.
3.2.5.4.8. Devolución de activos
“Todos los empleados, contratistas o usuarios de terceras partes deberían
devolver todos los activos pertenecientes a la organización que estén en su poder
al finalizar su contratación laboral, contrato o acuerdo”.
Al finalizar cualquier contrato dentro de la Dirección, el funcionario
responsable de un activo debe entregar obligatoriamente dicho activo a un nuevo
216
responsable, con lo cual el Director realiza la verificación del traspaso de todos los
activos a un nuevo funcionario.
3.2.5.4.9. Retiro de los derechos de acceso
“Los derechos de acceso de todos los empleados, contratistas o usuarios de
terceras partes a la información y a los servicios de procesamiento de información
se deberían retirar al finalizar su contratación laboral, contrato o acuerdo o se
deberían ajustar después del cambio”.
Cuando un funcionario termina su relación laboral con la Institución, la
Dirección de Talento Humano hace una petición formal de eliminación de las
cuentas de usuario de ese funcionario al encargado de administrar dichas cuentas
de usuario en la DTT.
3.2.5.5. Seguridad física y del entorno
3.2.5.5.1. Perímetro de la seguridad física
“Se deberían utilizar perímetros de la seguridad (barreras tales como
paredes, puertas de acceso controladas con tarjeta o mostradores de recepción
atendidos) para proteger las áreas que contienen información y servicios de
procesamiento de información”.
Se tiene un perímetro de la seguridad física para proteger las áreas que
contienen información y servicios de procesamiento de información, es decir, se
cuenta con un Centro de Cómputo en el edificio Matriz donde están todos los
equipos críticos de almacenamiento y procesamiento de la información y su acceso
cuenta con una puerta de seguridad.
3.2.5.5.2. Controles de acceso físico
“Las áreas seguras deberían estar protegidas con controles de acceso
apropiados para asegurar que sólo se permite el acceso a personal autorizado”.
Cualquier visitante que quiera ingresar a la Institución debe identificarse e
indicar su propósito en la recepción del edificio. El Centro de Cómputo tiene como
control de acceso físico un dispositivo biométrico que permite el acceso a personal
autorizado, y control de acceso biométrico en toda la SUPERTEL.
217
3.2.5.5.3. Seguridad de oficinas, recintos e instalaciones
“Se debería diseñar y aplicar la seguridad física para oficinas, recintos e
instalaciones”.
Se cumple este control ya que se tiene el Centro de Cómputo en una
ubicación estratégica en el edificio Matriz de la SUPERTEL.
3.2.5.5.4. Protección contra amenazas externas y ambientales
“Se deberían diseñar y aplicar protecciones físicas contra daño por incendio,
inundación, terremoto, explosión, manifestaciones sociales y otras formas de
desastre natural o artificial”.
Como protección contra las amenazas externas y ambientales, se cuenta
con un sistema de detección y control de incendios y sus respectivas señaléticas,
para casos de emergencia y evacuación, pero no se tiene planificado realizar
mantenimiento periódico al sistema contra incendios, ni se tiene un plan de
capacitación al personal sobre cómo actuar ante desastres naturales.
3.2.5.5.5. Trabajo en áreas seguras
“Se deberían diseñar y aplicar la protección física y las directrices para
trabajar en áreas seguras”.
Se cumple este control al tener restringido el acceso a las áreas seguras de
interés para la DTT, que son el Centro de Cómputo, mediante un control de acceso
biométrico y acceso restringido a los tableros de control de las baterías del sistema
de alimentación ininterrumpida (UPS), mediante la vigilancia privada del edificio.
3.2.5.5.6. Áreas de carga, despacho y acceso público
“Los puntos de acceso tales como las áreas de carga y despacho y otros
puntos por donde pueda ingresar personal no autorizado a las instalaciones se
deberían controlar y, si es posible, aislar de los servicios de procesamiento de
información para evitar el acceso no autorizado”.
En el edificio Matriz de la SUPERTEL, las áreas de carga, despacho y de
acceso público están siempre vigiladas, y cuando se necesite ingresar alguna carga
al edificio, se lo hace bajo supervisión.
218
3.2.5.5.7. Ubicación y protección de los equipos
“Los equipos deberían estar ubicados o protegidos para reducir el riesgo
debido a amenazas o peligros del entorno, y las oportunidades de acceso no
autorizado”.
Los equipos de almacenamiento y procesamiento de la información se
encuentran debidamente instalados en el Centro de Cómputo del edificio matriz,
protegidos contra el acceso no autorizado por un sistema de acceso biométrico. En
lo relacionado a los equipos del área de trabajo, la DTT se encarga de dar
recomendaciones sobre la ubicación de estos equipos, pero al final cada
funcionario de la Institución es responsable de su área de trabajo, por lo que se
considera que se pueden producir daños en los equipos del área de trabajo en el
caso en el que se produzca algún desastre natural que afecte al edificio y el equipo
no esté en una ubicación segura.
3.2.5.5.8. Servicios de suministro
“Los equipos deberían estar protegidos contra fallas en el suministro de
energía y otras anomalías causadas por fallas en los servicios de suministro”.
Como servicios de suministro se cuenta con un sistema de alimentación
ininterrumpida de energía (UPS) que permite el funcionamiento durante un periodo
de tiempo definido de los equipos que soportan operaciones críticas para la
Institución, un sistema de distribución de agua para abastecer al sistema contra
incendios y al sistema de aire acondicionado para controlar la temperatura del
Centro de Cómputo y cuarto de UPS, pero no se realizan mantenimientos
preventivos periódicos para estos sistemas, lo que ha producido que estos sistemas
presenten fallas.
3.2.5.5.9. Seguridad del cableado
“El cableado de energía eléctrica y de telecomunicaciones que transporta
datos o presta soporte a los servicios de información deberían estar protegidos
contra interceptaciones o daños”.
En cuanto a seguridad del cableado no se ha realizado una revisión y
mantenimiento del sistema del cableado estructurado para telecomunicaciones ni
del cableado de energía eléctrica desde su instalación hace varios años, por lo que
219
estos sistemas no están correctamente detallados ni reflejan cómo actualmente
están administrados, por lo que se pueden presentar ciertos riesgos en la seguridad
de la información.
3.2.5.5.10. Mantenimiento de los equipos
“Los equipos deberían recibir mantenimiento adecuado para asegurar su
continua disponibilidad e integridad”.
Para el mantenimiento de los equipos, se realiza de acuerdo a los contratos
de adquisición establecidos con los proveedores, y el mantenimiento de los mismos
se realiza por el personal autorizado para estas tareas; por lo general se realiza en
mantenimiento de los equipos en las mismas instalaciones de la SUPERTEL. No
se llevan registros propios de la DTT sobre los mantenimientos preventivos o
correctivos realizados en los equipos.
3.2.5.5.11. Seguridad de los equipos fuera de las instalaciones
“Se debería suministrar seguridad para los equipos fuera de las
instalaciones teniendo en cuenta los diferentes riesgos de trabajar fuera de las
instalaciones de la organización”.
Se debe implantar un procedimiento para el traslado de los equipos fuera de
las instalaciones de la Institución, considerando llevarlo como equipaje de mano
todo el tiempo, inclusive en largos periodos de tiempo. Para el trabajo que se realiza
en casa, se deben considerar medidas de seguridad como gabinetes de archivos
con seguros, política de escritorio despejado, control de acceso a los computadores
y comunicaciones seguras con la oficina.
3.2.5.5.12. Seguridad en la reutilización o eliminación de los equipos
“Se deberían verificar todos los elementos del equipo que contengan medios
de almacenamiento para asegurar que se haya eliminado cualquier software
licenciado y datos sensibles o asegurar que se hayan sobrescrito de forma segura,
antes de la eliminación”.
Para la reutilización o eliminación de los equipos, se debe asegurar que se
haya eliminado toda la información sensible o que se haya sobrescrito de forma
segura, usando técnicas que no permitan la recuperación de la información original.
220
Una vez que la información de los equipos a darse de baja se encuentra respaldada,
y se realiza el procedimiento de sobrescritura, los mismos serán entregados como
donación. No se tiene un procedimiento formal en la DTT para estos procedimientos.
3.2.5.5.13. Retiro de activos de la propiedad
“Ningún equipo, información ni software se deberían retirar sin autorización
previa”.
Para el retiro de activos del edificio matriz, se realiza el registro de los
mismos incluyendo la persona encargada del retiro o devolución y las fechas en las
cuales se realizan los retiros y las devoluciones, además se cuenta con códigos en
los equipos de toda la SUPERTEL que permiten la identificación de los mismos.
3.2.5.6. Gestión de comunicaciones y operaciones
3.2.5.6.1. Documentación de los procedimientos de operación
“Los procedimientos de operación se deberían documentar, mantener y estar
disponibles para todos los usuarios que los necesiten”.
Para sistemas o servicios existentes o nuevos dentro de la DTT, se deben
documentar detalladamente los procedimientos para su operación, incluyendo:
·
Procedimientos para el encendido y apagado de computadores
·
Copias de respaldo
·
Mantenimiento de equipos
·
Manejo de medios, cuarto de equipos
·
Gestión de correo
·
Gestión de la seguridad
·
Documentación de fallas y condiciones excepcionales que se puedan
presentar durante el funcionamiento del servicio
·
Procedimientos para el reinicio y recuperación del servicio en caso de
fallas
·
Requisitos de programación, incluyendo interrelaciones con otros
sistemas, hora de inicio y fin de sus funciones. Actualmente sí se realiza
esta documentación para los proyecto de desarrollo de software de la
DTT.
221
·
Contactos de soporte en caso de dificultades técnicas u operativas
inesperadas. Los datos de soporte técnico de los proveedores sí se
documentan, pero no se documentan los procedimientos realizados.
3.2.5.6.2. Gestión del cambio
“Se deberían controlar los cambios en los servicios y los sistemas de
procesamiento de información”.
Se realiza la gestión del cambio para controlar los cambios en los servicios
pertenecientes al área de Desarrollo de Software, teniendo en cuenta la
identificación y registro de las modificaciones significativas, planificación y pruebas
de los cambios, evaluación de los impactos potenciales de tales modificaciones,
procedimientos de aprobación formal para los cambios propuestos y comunicación
de los detalles de los mismos a las personas implicadas.
Para la mayoría de servicios de la DTT no se tienen procedimientos formales
para control de cambios.
3.2.5.6.3. Distribución de funciones
“Las funciones y las áreas de responsabilidad se deberían distribuir para
reducir las oportunidades de modificación no autorizada o no intencional, o el uso
inadecuado de los activos de la organización”.
En lo que se refiere a distribución de funciones, la DTT internamente está
estructurada funcionalmente porque trabaja en base a cuatro ejes fundamentales:
soporte informático a funcionarios, desarrollo de software para la Institución,
infraestructura de la red y gestión de proyectos, por lo que los funcionarios que
trabajan en estas diferentes áreas tiene sus respectivas cuentas de acceso y
permisos de modificación de las mismas, de acuerdo a sus obligaciones.
Pero se tienen administradores de segundo nivel que pueden tener permisos
de modificación sin que sea necesario o se han asignado derechos de acceso a
funciones del sistema sin un análisis previo, y estos administradores podrían hacer
modificaciones no autorizadas.
222
3.2.5.6.4. Separación de las instalaciones de desarrollo ensayo y operación
“Las instalaciones de desarrollo, ensayo y operación deberían estar
separadas para reducir los riesgos de acceso o cambios no autorizados en el
sistema operativo”.
Para la puesta en producción de los sistemas que se desarrollan en la DTT
sí existe un proceso de pruebas previo a su funcionamiento, pero con un grado de
separación insuficiente entre el ambiente de desarrollo, pruebas y producción, en
donde los usuarios autorizados tienen definidos cuentas de acceso con las
restricciones respectivas.
3.2.5.6.5. Prestación del servicio
“Se deberían garantizar que los controles de la seguridad, las definiciones
del servicio y los niveles de prestación del servicio incluidos en el acuerdo, sean
implementados, mantenidos y operados por el tercero”.
Para la prestación del servicio por terceras partes se establecen los
contratos necesarios en donde se especifican los niveles de prestación del servicio
que son constantemente monitoreados, tanto por los prestadores del servicio como
por la DTT para garantizar su cumplimiento.
3.2.5.6.6. Monitoreo y revisión de los servicios por terceros
“Los servicios, reportes y registros suministrados por terceras partes se
deberían controlar y revisar con regularidad y las auditorías se deberían llevar a
cabo a intervalos regulares”.
Se podría mejorar este control documentando los procedimientos realizados
de acuerdo a los niveles de prestación del servicio establecidos en los contratos de
la DTT con los prestadores de servicio.
3.2.5.6.7. Gestión de los cambios en los servicios por terceras partes
“Los cambios en la prestación de los servicios, incluyendo mantenimiento y
mejora de las políticas existentes de la seguridad de la información, en los
procedimientos y los controles se deberían gestionar teniendo en cuenta la
importancia de los sistemas y procesos del negocio involucrados, así como la
reevaluación de los riesgos”.
223
En cuanto a la gestión de cambios en los servicios prestados por terceras
partes, por lo general se realizan cuando la institución tiene la necesidad de
implementar mejoras en los servicios actuales, desarrollos de nuevos sistemas o
aplicaciones; en caso de que el proveedor del servicio plantee algún cambio en el
mismo se deberá someter a un análisis previo a la aprobación de las autoridades
de la institución.
3.2.5.6.8. Gestión de la capacidad
“Se debería hacer seguimiento y adaptación del uso de los recursos, así
como proyecciones de los requisitos de la capacidad futura para asegurar el
desempeño requerido del sistema”.
En la planificación anual de proyectos dentro de la DTT se realiza la
planificación de la capacidad para almacenamiento y procesamiento de los
servicios de la Dirección, pero existen algunos servicios para los que no se realiza
un monitoreo periódico de estas capacidades.
3.2.5.6.9. Aceptación del sistema
“Se deberían establecer criterios de aceptación para sistemas de
información nuevos, actualizaciones y nuevas versiones y llevar a cabo los ensayos
adecuados del sistema durante el desarrollo y antes de la aceptación”.
Para la aceptación de un sistema se realizan procedimientos previos a la
aceptación formal del mismo, entre los cuales se tiene la revisión por parte de los
directores, en donde se establecen los requisitos y criterios para aceptación de
sistemas nuevos que garanticen el correcto funcionamiento del mismo sin que
afecte el funcionamiento o el desempeño de los sistemas existentes. Se considera
que en esta fase de aceptación, dentro de la DTT, no se contemplan posibles
situaciones o factores que causen vulnerabilidades no previstas al momento de que
el sistema entre en la fase de pruebas o producción.
3.2.5.6.10. Controles contra códigos maliciosos
“Se deberían implementar controles de detección, prevención y recuperación
para proteger contra códigos maliciosos, así como procedimientos apropiados de
concienciación de los usuarios”.
224
Se realiza un mínimo control contra códigos maliciosos, incluyendo la
verificación de páginas web, suscripción a sitios web de verificación y/o listados de
correo que suministran información sobre códigos maliciosos nuevos, lo que se
realiza mediante el funcionamiento de los equipos de seguridad perimetral y un
servidor de antivirus.
3.2.5.6.11. Controles contra códigos móviles
“Cuando se autoriza la utilización de códigos móviles, la configuración
debería asegurar que dichos códigos operan de acuerdo con la política de la
seguridad claramente definida, y se debería evitar la ejecución de los códigos
móviles no autorizados”.
En el caso de la DTT, no se considera la utilización de códigos móviles,
debido a que el área de desarrollo de software trabaja con plataformas definidas,
las cuales se encuentran protegidas contra la utilización de estos códigos.
3.2.5.6.12. Respaldo de la información
“Se deberían hacer copias de respaldo de la información y del software, y se
deben poner a prueba con regularidad de acuerdo con la política de respaldo
acordada”.
Se realiza un respaldo de la información de los servicios más importantes y
parte de los demás servicios de la DTT, ya que no se tiene la capacidad suficiente
para almacenar la información de todos los servicios. Los archivos de respaldos se
almacenan en el mismo Centro de Cómputo del Edificio Matriz, por lo que en caso
de un desastre que afecte al edificio se perderían; no se realizan pruebas periódicas
del funcionamiento adecuado de los archivos de respaldo. No se tienen registros
exactos de los archivos de respaldos con los que cuenta la Dirección ni se han
establecido procedimientos formales de restauración, por lo cual se plantearán
recomendaciones para mejorar este control.
3.2.5.6.13. Controles de las redes
“Las redes se deberían mantener y controlar adecuadamente para
protegerlas de las amenazas y mantener la seguridad de los sistemas y
aplicaciones que usan la red, incluyendo la información en tránsito”.
225
En lo relacionado a controles de las redes, de lo cual se encarga el área de
infraestructura de la DTT, se tiene un estricto control de acceso por cuenta de
usuario a las interfaces de administración de los equipos de seguridad perimetral
de la red, y para la administración de los equipos de telecomunicaciones se tienen
configurados accesos solo para los usuarios autorizados.
3.2.5.6.14. Seguridad de los servicios de la red
“En cualquier acuerdo sobre los servicios de la red se deberían identificar e
incluir las características de la seguridad, los niveles de servicio y los requisitos de
gestión de todos los servicios de la red, sin importar si los servicios se prestan en
la organización o se contratan externamente”.
Se proporciona seguridad de los servicios de la red mediante la autenticación
para cada cuenta de los usuarios.
Además, se tiene un control de conexión de red para bloquear la conexión
hacia páginas consideradas como no apropiadas o que demanden un alto uso del
ancho de banda de los enlaces disponibles.
No se tienen planificaciones de monitoreos periódicos de los enlaces WAN
que utiliza la Institución, además de que no se realizan actualizaciones en las
configuraciones de los equipos de seguridad perimetral para protección contra
nuevas amenazas externas.
3.2.5.6.15. Gestión de los medios removibles
“Se deberían establecer procedimientos para la gestión de los medios
removibles”.
No se aplica dentro de la DTT.
3.2.5.6.16. Eliminación de los medios
“Cuando ya no se requieren estos medios, su eliminación se debería hacer
de forma segura y sin riesgo, utilizando los procedimientos formales”.
Los controles pertinentes a la gestión de medios removibles y a la
eliminación de los medios no son aplicados en la Dirección Nacional de Desarrollo
Tecnológico en Telecomunicaciones, por lo que se tiene un alto riesgo de pérdida o
fuga de la información que se encuentra en estos medios.
226
3.2.5.6.17. Procedimientos para el manejo de la información
“Se deberían establecer procedimientos para el manejo y almacenamiento
de la información con el fin de proteger dicha información contra divulgación no
autorizada o uso inadecuado”.
Sí existen procedimientos para el manejo de la información dentro de la DTT,
especialmente en lo relacionado a restricciones de acceso para evitar el acceso de
personal no autorizado y se tiene un registro de la información a la que cada
funcionario tiene acceso.
Se plantearán recomendaciones para mejorar este
control.
3.2.5.6.18. Seguridad de la documentación del sistema
“La documentación del sistema debería estar protegida contra el acceso no
autorizado”.
Los administradores de los recursos de la red en la DTT revisan los permisos
que los usuarios tienen para la documentación del sistema, la cual se almacena en
servidores protegidos, pero no se tiene un procedimiento formal para realizar la
renovación de contraseñas para evitar que usuarios no autorizados accedan a la
información al conocer alguna contraseña de acceso.
3.2.5.6.19. Políticas y procedimientos para el intercambio de información
“Se deberían establecer políticas, procedimientos y controles formales de
intercambio para proteger la información mediante el uso de todo tipo de servicios
de comunicación”.
Dentro de la DTT no se han establecido políticas ni procedimientos formales
para el intercambio de información, por lo que se toman las recomendaciones
dadas por la Norma 27002 [6] para establecer estas políticas. Se deben realizar:
·
Procedimientos para intercambio de información que prevengan la
interceptación, copiado, modificación, enrutamiento inadecuado y
destrucción.
·
Procedimientos para detección y protección contra códigos maliciosos,
que puedan ser transmitidos con el uso de comunicaciones electrónicas.
·
Procedimientos para protección de archivos adjuntos en comunicaciones
electrónicas.
227
·
Procedimientos
para
el
uso
de
comunicaciones
inalámbricas,
considerando los riesgos particulares implicados.
·
Capacitar a los empleados, contratistas y cualquier otro usuario, de no
comprometer a la organización a través de difamación, acoso,
suplantación, etc.
·
Uso de técnicas criptográficas para el intercambio de información.
·
Procedimientos de retención
y eliminación
de correspondencia
incluyendo mensajes, según la Secretaría Nacional de Administración
Pública.
·
No dejar información sensible o crítica en dispositivos de impresión, como
copiadoras e impresoras, que puedan permitir el acceso de personal no
autorizado.
·
Inculcar al personal sobre precauciones adecuadas para no revelar
información sensible.
·
Recordar al personal no registrar datos demográficos como direcciones
de correo electrónico o información personal, para evitar su uso no
autorizado.
·
Procedimientos adecuados que administren información almacenada en
la memoria caché de las fotocopiadoras.
·
Concientizar al personal sobre la importancia de no tener conversaciones
confidenciales en lugares públicos ni oficinas abiertas.
3.2.5.6.20. Acuerdos para el intercambio
“Se deberían establecer acuerdos para el intercambio de la información y del
software entre la organización y las partes externas”.
En los documentos que se generan en el desarrollo de un proyecto dentro
de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones deben
constar las firmas de todas las personas responsables, tanto de esta Dirección
como de otras direcciones de la Institución o de partes externas y contratistas, pero
en general no se tiene establecido un acuerdo formal para el intercambio de
información.
228
3.2.5.6.21. Medios físicos en tránsito
“Los medios que contienen información se deberían proteger contra el
acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más
allá de los límites físicos de la organización”.
Cuando los medios físicos que contienen información deben someterse a un
mantenimiento técnico, por lo general los proveedores de los equipos realizan estas
tareas dentro de la Institución, por lo que no es necesario trasladar los equipos.
La DTT se encarga del envío y recepción de equipos para videoconferencia
y proyectores, ya que la administración de estos equipos está a cargo de esta
dirección, para esta actividad se coordina la recepción de dichos equipos en las
dependencias de la SUPERTEL que lo hayan solicitado dando como resultados
actas de entrega recepción.
Estos equipos no siempre tienen el embalaje adecuado para su envío, por lo
que se podrían establecen procedimientos formales para el traslado de equipos
fuera del edificio matriz.
3.2.5.6.22. Mensajería electrónica
“La información contenida en la mensajería electrónica debería tener la
protección adecuada”.
En la Institución se cuenta con el correo electrónico institucional y sistema
de mensajería instantánea (Sametime y Skype); el correo electrónico institucional
cuenta con una autenticación propia e independiente de la que se realiza para
ingresar a las cuentas de cada funcionario, con lo que se garantiza la protección
contra acceso no autorizado, modificación o negación de servicios, además se tiene
una conexión al servidor de backup en la Intendencia Regional Sur, que garantiza
la recepción y almacenamiento de la información, con lo cual se tiene un alto grado
de confiabilidad y disponibilidad de estos servicios.
3.2.5.6.23. Sistemas de información del negocio
“Se
deberían
establecer,
desarrollar
e
implementar
políticas
y
procedimientos para proteger la información asociada con la interconexión de los
sistemas de información del negocio”.
229
Para el manejo de los sistemas de información de la DTT se realizan
actividades como: priorización de la información dependiendo del servicio
correspondiente, restricciones de acceso a la información y administración de los
sistemas sensibles para los usuarios autorizados, restricción de los servicios
dependiendo de la autorización del uso de los mismos, pero no se realiza la
retención ni copias de respaldo de la información contenida en varios sistemas.
3.2.5.6.24. Comercio electrónico
“La información involucrada en el comercio electrónico que se transmite por
las redes públicas debería estar protegida contra actividades fraudulentas, disputas
por contratos y divulgación o modificación no autorizada”.
Este control no es aplicable dentro de la DTT porque no se realizan
actividades de comercio electrónico.
3.2.5.6.25. Transacciones en línea
“La información involucrada en las transacciones en línea debería estar
protegida para evitar transmisión incompleta, enrutamiento inadecuado, alteración,
divulgación, duplicación o repetición no autorizada del mensaje”.
Se realizan transacciones en línea cuando es necesaria la firma electrónica
de los funcionarios implicados en este proceso, garantizando las credenciales de
cada usuario y que se conserva la confidencialidad de dicha transacción.
Se garantiza el almacenamiento de la información que se intercambia entre
la institución y las empresas externas a la SUPERTEL (operadoras, ECU911, etc.),
con el uso de servidores debidamente configurados para su protección contra el
acceso público.
3.2.5.6.26. Información disponible al público
“La integridad de la información que se pone a disposición en un sistema de
acceso público debería estar protegida para evitar la modificación no autorizada”.
Al ser la SUPERTEL una Institución del Estado, cierto tipo de información
que se procesa está disponible al público; esta información proviene de diferentes
sistemas que realizan una retroalimentación y entrada directa hacia los sistemas
de procesamiento, para lo cual se garantiza que la información sea procesada
230
completamente, de forma exacta y oportuna, protegiendo la misma durante la
recolección, procesamiento y almacenamiento.
3.2.5.6.27. Registro de auditorías
“Se deberían elaborar y mantener durante un periodo acordado las
grabaciones de los registros para auditoría de las actividades de los usuarios, las
excepciones y los eventos de la seguridad de la información con el fin de facilitar
las investigaciones futuras y el monitoreo del control de acceso”.
En la DTT no se han establecido procedimientos para llevar registros de
auditorías, por lo que se deben plantear los mismos, considerando lo siguiente:
·
Identificación de usuario
·
Fecha, hora y detalles de eventos claves
·
Registro de los intentos aceptados y rechazados de acceso al sistema,
así como el acceso a los datos y otros recursos
·
Cambios en la configuración del sistema
·
Uso de privilegios, direcciones y protocolos de red
·
Archivos a los que se ha tenido acceso y tipos de acceso
·
Activación y desactivación de los sistemas de protección, como sistemas
de antivirus y de detección de intrusión
3.2.5.6.28. Monitoreo de uso del sistema
“Se deberían establecer procedimientos para el monitoreo de uso de los
servicios de procesamiento de información, y los resultados de las actividades de
monitoreo se deberían revisar con regularidad”.
Dentro de la DTT se realizan monitoreos para servicios que manejan
información muy importante, pero no se tienen establecidos procedimientos
formales para monitoreos periódicos de estos servicios ni de los demás servicios
de la Dirección, en donde se especifiquen los aspectos a ser monitoreados.
3.2.5.6.29. Protección del registro de la información
“El registro del servicio y la información se deberían proteger contra el
acceso o la manipulación no autorizados”.
231
Se realiza una mínima protección del registro de la información en los
sistemas desarrollados recientemente, donde se registran los cambios más
importantes que se realizan en el proceso del desarrollo de nuevos sistemas, se
pueden implementar acciones que mejoren estos controles. No se realizan
monitoreos de ciertos servicios (más antiguos) a cargo de la DTT, por lo que se
plantearán recomendaciones para este control.
3.2.5.6.30. Registros del administrador y del operador
“Se deberían registrar las actividades tanto del operador como del
administrador del sistema”.
Dentro de la DTT no se han establecido procedimientos formales para el
registro de las actividades realizadas por los administradores y operadores de los
servicios de la Dirección.
3.2.5.6.31. Registro de fallas
“Las fallas se deberían registrar y analizar, y se deberían tomar las acciones
adecuadas”.
La DTT no cuenta con un registro de fallas que se han presentado en los
servicios a su cargo, por lo que se deberá establecer un procedimiento para
registrar fallas considerando:
·
Revisión del registro de fallas para garantizar que se resolvieron
satisfactoriamente,
·
Revisión de las medidas correctivas, garantizando que no se han puesto
en peligro los controles y que la acción tomada está completamente
autorizada.
3.2.5.6.32. Sincronización de relojes
“Los relojes de todos los sistemas de procesamiento de información
pertinentes dentro de la organización o del dominio de la seguridad deberían estar
sincronizados con una fuente de tiempo exacta y acordada”.
Se tiene sincronización de relojes para los computadores y dispositivos de
telecomunicaciones mediante un servidor local, que permite garantizar una fecha y
hora para las actividades realizadas.
232
3.2.5.7. Control del acceso
3.2.5.7.1. Política de control de acceso
“Se debería establecer, documentar y revisar la política de control de acceso
con base en los requisitos del negocio y de la seguridad para el acceso”.
En la DTT se tienen establecidas prácticas de seguridad para el control de
acceso que definen: procedimientos para el manejo de computadores
institucionales en lo referente a su registro y asignación, y pudiendo ser equipos de
escritorio o laptops, creación de cuentas de usuario y los derechos de acceso que
tendrán los mismos; estas políticas no se han establecido formalmente.
3.2.5.7.2. Registro de usuarios
“Debería existir un procedimiento formal para el registro y cancelación de
usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios
de información”.
Se realiza un registro de usuarios en el servicio LDAP mediante Active
Directory, que permite el manejo de todas las cuentas de usuario de la Institución,
para lo cual se tiene definido el procedimiento respectivo para la creación o
modificación de usuarios, de igual forma se realiza la creación de un perfil de
usuario para la plataforma de correo electrónico, esto lo realizan los
administradores de estos sistemas en la DTT.
3.2.5.7.3. Gestión de privilegios
“Se debería restringir y controlar la asignación y el uso de privilegios”.
Una vez creadas las cuentas de usuario por los funcionarios de la DTT
encargados de esta tarea, se otorgan los derechos de acceso a los sistemas para
los cuales cada funcionario de la Institución está autorizado, mediante un
procedimiento formal de solicitud de estos derechos de acceso y registrando estos
derechos de acceso asignados.
3.2.5.7.4. Gestión de contraseñas para usuarios
“La asignación de contraseñas se debería controlar a través de un proceso
formal de gestión”.
233
Al crear una cuenta de usuario, la contraseña asignada para esa cuenta es
forzada a ser cambiada por el usuario correspondiente la primera vez que la usa, y
para realizar cambios de contraseña por bloqueo de la cuenta se hace una solicitud
formal a la DTT la cual verifica la identidad del usuario.
No se ha establecido un documento que obligue a los funcionarios a
mantener confidenciales las contraseñas personales y conservar las contraseñas
de grupo únicamente entre los miembros de éste, además de que no se tiene como
se tiene como buena práctica el no almacenar las contraseñas en sistemas de
computador en formatos no protegidos.
3.2.5.7.5. Revisión de los derechos de acceso de los usuarios
“La dirección debería establecer un procedimiento formal de revisión
periódica de los derechos de acceso de los usuarios”.
En cuanto a la revisión de los derechos de acceso de los usuarios, se hace
la asignación de contraseñas temporales que cada usuario debe cambiar
inmediatamente, y cualquier modificación de contraseñas se realiza mediante una
petición haciendo uso del servicio de Help Desk.
Además, el sistema se encuentra configurado para forzar a un cambio de
contraseñas de todos los usuarios en un intervalo de tiempo definido y se tiene una
limitada cantidad de intentos permitidos para inicio de sesión.
Cuando es necesario se realiza una revisión y modificación de los derechos
de acceso de los usuarios mediante la solicitud formal de estos cambios, que por
lo general son cambios temporales.
3.2.5.7.6. Uso de contraseñas
“Se debería exigir a los usuarios el cumplimiento de buenas prácticas de la
seguridad en la selección y el uso de las contraseñas”.
Una de las principales responsabilidades de los usuarios es el correcto uso
de las contraseñas, las cuales se manejan de forma insegura por la mayor parte de
funcionarios de la Institución, por lo que se debe capacitar a los funcionarios sobre
la importancia del manejo de contraseñas y cómo establecer contraseñas robustas,
complementando esto con el establecimiento de procedimientos formales para
renovación de contraseñas.
234
3.2.5.7.7. Equipo de usuario desatendido
“Los usuarios deberían asegurarse de que los equipos desatendidos tengan
protección apropiada”.
En caso de que se tengan computadores que no están en uso, estos están
protegidos contra el acceso no autorizado por medio de una contraseña de bloqueo,
los equipos de conectividad también están configurados para que bloqueen el
acceso a los mismos después de un intervalo de tiempo de inactividad.
3.2.5.7.8. Política de escritorio despejado y pantalla despejada
“Se debería adoptar una política de escritorio despejado para reportes y
medios de almacenamiento removibles y una política de pantalla despejada para
los servicios de procesamiento de información”.
En la DTT se protege información almacenada en medios electrónicos o en
papel asegurándola bajo llave en gabinetes, y cada funcionario asegura su
documentación en su escritorio; no todos los funcionarios consideran dejar su
pantalla despejada o bloqueada cuando dejan su área de trabajo.
3.2.5.7.9. Política de uso de los servicios en red
“Los usuarios sólo deberían tener acceso a los servicios para cuyo uso están
específicamente autorizados”.
En la DTT se han establecido prácticas de seguridad para el uso de servicios
en red, dentro de los cuales se definen procedimientos para solicitar la autorización
de acceso a sistemas que administra esta Dirección y el uso de Internet mediante
una conexión local o inalámbrica, para esto se utiliza la autenticación de las cuentas
de usuario con sus debidas restricciones. Estas prácticas de seguridad no se han
formalizado como políticas de seguridad.
3.2.5.7.10. Autenticación de usuarios para conexiones externas
“Se deberían emplear métodos apropiados de autenticación para controlar
el acceso de usuarios remotos”.
Cuando es necesario el acceso a la red de la Institución usando conexiones
externas, se lo realiza mediante un software para el manejo de VPN, en donde se
debe realizar la autenticación de usuarios, para lo cual la DTT configura los
235
permisos de acceso necesarios. Actualmente no se ha realizado una actualización
de los usuarios que sí deberían tener configurado el acceso a la red mediante VPN.
3.2.5.7.11. Identificación de los equipos en las redes
“La identificación automática de los equipos se debería considerar un medio
para autenticar conexiones de equipos y ubicaciones específicas”.
La DTT realiza una identificación de los equipos dentro de la red institucional
asignando un nombre de equipo único, la estructura de esta identificación
dependerá de la dirección o delegación de la SUPERTEL a cuál pertenece, pero no
se tiene un registro formal de los nombres de equipos asignados.
3.2.5.7.12. Protección de los puertos de configuración y diagnóstico remoto
“El acceso lógico y físico a los puertos de configuración y de diagnóstico
debería estar controlado”.
Se efectúa una protección de acceso a los puertos que maneja la red
institucional mediante equipos de seguridad perimetral, que restringen accesos a
sistemas determinados; los puertos internos implementan como medida de
seguridad la autenticación del usuario, pero no se realiza la desactivación de los
puertos no utilizados en los switches de acceso.
3.2.5.7.13. Separación en las redes
“En las redes se deberían separar los grupos de servicios de información,
usuarios y sistemas de información”.
La forma en la que se maneja la separación de la red para los diversos tipos
de datos es mediante la división en VLAN, lo que permite aprovechar todas las
capacidades de enrutamiento y conmutación de los equipos de telecomunicaciones.
Para la administración de redes inalámbricas se utiliza un software Wireless LAN
Controller (WLC) que permite la creación de perfiles de redes inalámbricas, con
diferentes niveles de autorización y permisos de acceso de acuerdo a las funciones
de cada usuario, y limitando el número de usuarios para cada perfil de red
inalámbrica; además se tienen equipos de seguridad perimetral que protegen la red
de ataques externos y firewalls internos que protegen el acceso a servidores y
bases de datos.
236
3.2.5.7.14. Control de conexión a las redes
“Para redes compartidas, especialmente aquellas que se extienden más allá
de las fronteras de la organización, se debería restringir la capacidad de los
usuarios para conectarse a la red, de acuerdo con la política de control de acceso
y los requisitos de aplicación del negocio”.
Si bien se han establecido dentro de la DTT prácticas de seguridad para el
control de acceso, entre las cuales se considera el control de conexión a las redes
mediante permisos que se le otorgan a los usuarios, no se ha realizado una revisión
de dichos permisos, con la finalidad de verificar que los usuarios accedan
solamente a la información para la cual están autorizados.
3.2.5.7.15. Control del enrutamiento en la red
“Se deberían implementar controles de enrutamiento en las redes con el fin
de asegurar que las conexiones entre computadores y los flujos de información no
incumplan la política de control de acceso de las aplicaciones del negocio”.
En la red institucional que administra la DTT se tiene un nivel de control del
enrutamiento en la red por medio de puertas de enlace predeterminadas y
servidores DNS, que permiten hacer la verificación de las direcciones fuente y
destino que se empleen para el transporte de la información, además de las
verificaciones de sitios web que realizan los equipos de seguridad perimetral. Para
algunas aplicaciones web se debe considerar la utilización de certificados de
seguridad para páginas web.
3.2.5.7.16. Procedimiento de registro de inicio seguro
“El acceso a los sistemas operativos se debería controlar mediante un
procedimiento de registro de inicio seguro”.
Este control se aplica mediante el uso del servicio LDAP por medio de Active
Directory, puesto que para acceder a cualquier servicio es necesaria la
autenticación del usuario en el sistema operativo, considerando bloqueos de las
cuentas de usuario cuando se excede un número de intentos fallidos de
autenticación, y para el desbloqueo se debe hacer la petición formal a la DTT.
237
3.2.5.7.17. Identificación y autenticación de usuarios
“Todos los usuarios deberían tener un identificador único (ID del usuario)
para su uso personal, y se debería elegir una técnica apropiada de autenticación
para comprobar la identidad declarada de un usuario”.
Para la autenticación de usuarios internos, que les permitirá utilizar su equipo
de trabajo, el administrador de red asignará como nombre de usuario la letra del
primer nombre seguida del apellido, se explica mediante el siguiente ejemplo:
Nombre de usuario: gflores
Contraseña: 12345678
Para los administradores de la red, de bases de datos, de soporte técnico y
programadores de sistemas, las contraseñas son creadas y administradas por ellos
mismos, por lo que es su responsabilidad el manejo adecuado de dichas
contraseñas.
3.2.5.7.18. Sistema de gestión de contraseñas
“Los sistemas para la gestión de contraseñas deberían ser interactivos y
deberían asegurar la calidad de las contraseñas”.
La primera vez que un usuario ingrese a su cuenta deberá realizar un cambio
de contraseña. El sistema de Active Directory permite configurar ciertos parámetros
de seguridad para contraseñas, por lo que se lo utiliza como sistema de gestión de
contraseñas para las cuentas de usuarios, pero se pueden establecer
procedimientos formales que aseguren el correcto funcionamiento de este sistema.
El sistema se encuentra configurado para forzar a un cambio de contraseñas de
todos los usuarios en un intervalo de tiempo definido y se tiene una limitada
cantidad de intentos permitidos para inicio de sesión.
3.2.5.7.19. Uso de las utilidades del sistema
“Se debería restringir y controlar estrictamente el uso de programas utilitarios
que pueden anular los controles del sistema y de la aplicación”.
En lo referente al uso de las diferentes utilidades del sistema, se configuran
restricciones para acciones como instalación o desinstalación de nuevo software,
cambios en la configuración de red de los computadores institucionales, entre otras
funcionalidades, que solo la cuenta de administrador puede modificar.
238
Se tiene un procedimiento para la identificación, autenticación y autorización
de utilización de los diferentes sistemas y servicios que la DTT administra, pero
estos procedimientos no se encuentran formalizados en un documento.
3.2.5.7.20. Tiempo de inactividad de la sesión
“Las sesiones inactivas se deberían suspender después de un periodo
definido de inactividad”.
La DTT ha establecido que si se tiene un periodo de inactividad en los
equipos del área de trabajo se bloquee el mismo, de igual forma con las conexiones
a los terminales de los equipos de conectividad y para las sesiones en diversos
sistemas, protegiendo contra accesos no autorizados.
3.2.5.7.21. Limitación del tiempo de conexión
“Se deberían utilizar restricciones en los tiempos de conexión para brindar
seguridad adicional para las aplicaciones de alto riesgo”.
Para equipos de conectividad y almacenamiento se tienen definidos límites
de tiempo de conexión en las sesiones y terminales de estos equipos, para restringir
el acceso a los mismos, haciendo que estas sesiones terminen y se requiera un
nuevo establecimiento de sesión.
3.2.5.7.22. Restricción del acceso a la información
“Se debería restringir el acceso a la información y a las funciones del sistema
de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con
la política definida de control de acceso”.
Para la restricción de acceso a la información se utilizan mecanismos de
autenticación, tanto para el acceso de cuentas de usuario como para los diferentes
sistemas y servicios de la DTT, para lo que también se definen los derechos de
acceso de cada usuario. No se ha hecho una revisión de los derechos de acceso
otorgados a los funcionarios en los sistemas para verificar su pertinencia.
3.2.5.7.23. Aislamiento de sistemas sensibles
“Los sistemas sensibles deberían tener un entorno informático dedicado
(aislados)”.
239
Los sistemas sensibles (sistemas que manejan información de gran
importancia para el negocio) dentro de la DTT se han identificado y clasificado pero
no se tiene una documentación detallada; se realizan pruebas en entornos aislados
para los sistemas que están en desarrollo previo a ponerlos en producción, y una
vez que el sistema entra en funcionamiento, en caso de producirse fallas, se las
soluciona lo más rápido posible, aunque no se tienen definidos procedimientos para
documentar estas fallas.
3.2.5.7.24. Computación y comunicaciones móviles
“Se debería establecer una política formal y se deberían adoptar las medidas
de la seguridad apropiadas para la protección contra los riesgos debidos al uso de
dispositivos de computación y comunicaciones móviles”.
En lo referente a computación y comunicaciones móviles, se registran por
medio de la dirección MAC las laptops y dispositivos móviles para que puedan
acceder a la red institucional, de la misma forma en estos equipos se realiza la
autenticación de usuarios para el acceso a los servicios por medio del servicio LDAP.
Se cuenta con un seguro de protección contra robos o daños en el hardware
para laptops institucionales, pero no se hacen respaldos de la información
contenida en estos dispositivos. No se ha establecido una política para el manejo
de dispositivos de computación y comunicaciones móviles.
3.2.5.7.25. Trabajo remoto
“Se deberían desarrollar e implementar políticas, planes operativos y
procedimientos para las actividades de trabajo remoto”.
El trabajo remoto dentro de la DTT está limitado al uso del servicio de VPN,
que permite acceder a los sistemas para los cuales cada usuario está autorizado,
pero no se lleva un registro de las actividades realizadas. Se debe capacitar al
personal sobre la forma adecuada para realizar trabajo remoto.
3.2.5.8. Adquisición, desarrollo y mantenimiento de sistemas de información
240
3.2.5.8.1. Análisis y especificación de los requisitos de la seguridad
“Las declaraciones sobre los requisitos del negocio para nuevos sistemas de
información o mejoras a los sistemas existentes deberían especificar los requisitos
para los controles de la seguridad”.
En los proyectos que se realizan en la DTT se analizan y especifican los
requisitos de seguridad, tanto para nuevos sistemas como para mejorar a los
sistemas existentes, estos requisitos de seguridad se analizan en las fases iniciales
de los proyectos a desarrollarse, ya que sería más costoso implementarlos una vez
que se encuentren en funcionamiento.
Para proyectos que se realizan en otras direcciones de la Institución, no
siempre se hacen consideraciones sobre requisitos de seguridad, por lo que a la
DTT solamente se le solicita recursos relacionados con el almacenamiento y
procesamiento de información y en caso de que sea necesario, se solicitan
permisos de acceso a sistemas o información
3.2.5.8.2. Validación de los datos de entrada
“Se deberían validar los datos de entrada a las aplicaciones para asegurar
que dichos datos son correctos y apropiados”.
Para lograr un correcto procesamiento de la información en los sistemas a
cargo de la DTT, se inicia con la validación de los datos que ingresan a las
aplicaciones, especialmente las que son desarrolladas para la Institución y
recolectan gran cantidad de información.
Se hace una verificación de datos de ingreso del usuario a los sistemas,
ingreso de datos completos y de la persona que colocó dicha información en el
sistema.
En caso de que se ingresen datos no válidos se realiza una notificación a los
encargados de ingresar esa información para que se reenvíe de acuerdo a los
parámetros establecidos.
3.2.5.8.3. Control de procesamiento interno
“Se deberían incorporar verificaciones de validación en las aplicaciones para
detectar cualquier daño o pérdida de la información por errores de procesamiento
o actos deliberados”.
241
Una vez que se validan los datos en la entrada de los sistemas a cargo de
la DTT, la información se almacena en diferentes bases de datos y es procesada
por diferentes sistemas de acuerdo al tipo de información.
Los servidores encargados del procesamiento de información actualmente
tienen la capacidad suficiente para realizar estas tareas y en caso de fallas, la
información no sufre daños y se asegura que la misma es entregada en tiempos
óptimos.
No se realizan registros de las actividades implicadas en el procesamiento
de la información, lo cual está relacionado con lo planteado en el control 3.2.5.6.27
Registro de auditorías.
3.2.5.8.4. Integridad del mensaje
“Se deberían identificar los requisitos para asegurar la autenticidad y
proteger la integridad del mensaje en las aplicaciones, así como identificar e
implementar los controles adecuados”.
De los sistemas de la DTT que manejan la información más sensible, no se
realiza la verificación de la integridad del mensaje, por lo que plantea que se
implemente este control, analizando los sistemas en los que sea necesario, y
especialmente en los sistemas más críticos.
3.2.5.8.5. Validación de los datos de salida
“Se deberían validar los datos de salida de una aplicación para asegurar que
el procesamiento de la información almacenada es correcto y adecuado a las
circunstancias”.
La DTT se encarga de verificar que la información procesada se muestre en
los diferentes servicios y hacia los diferentes usuarios, mediante los recursos de la
red, mas no se encarga de verificar que esta información sea la correcta, a
excepción de los servicios propios de la DTT, por ejemplo, la información generada
en los módulos SICOEIR.
3.2.5.8.6. Política sobre el uso de controles criptográficos
“Se debería desarrollar e implementar una política sobre el uso de controles
criptográficos para la protección de la información”.
242
Dentro la DTT no se tienen políticas que establezcan el uso de controles
criptográficos. Para el desarrollo de políticas de uso de controles criptográficos se
deben realizar las siguientes actividades:
·
Análisis de la dirección hacia el uso de controles criptográficos
·
Evaluación de riesgos que permita identificar el nivel requerido de
protección, teniendo en cuenta el tipo, fortaleza y calidad del algoritmo
de cifrado requerido
·
Cifrado de la información sensible que se transporte por medios móviles
o removibles a través de las líneas de comunicación
·
Enfoque para la gestión de claves, considerando métodos para tratar la
protección de claves criptográficas y la recuperación de la información
cifrada en caso de pérdida o daño de las claves criptográficas
·
Funciones y responsabilidades: implementación de la política y la gestión
de claves incluyendo su generación
·
Impacto de la utilización de la información cifrada sobre los controles que
dependen de la inspección del contenido
Con la aplicación de controles criptográficos se logra una mejora en la
confidencialidad, integridad y no repudio de la información.
3.2.5.8.7. Gestión de claves
“Se debería establecer la gestión de claves para apoyar el uso de técnicas
criptográficas en la organización”.
En la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones
no se ha planteado la gestión de claves debido a que no se tiene una política sobre
el uso de controles criptográficos. Las claves criptográficas deben tener protección
contra modificación, pérdida, destrucción y divulgación no autorizada. Los sistemas
para gestión de claves deben basarse en los siguientes lineamientos:
·
Generar claves para diferentes sistemas criptográficos
·
Generar y obtener certificados de claves públicas
·
Distribuir claves a los usuarios previstos, incluyendo la forma de activar
y recibir claves
·
Almacenar las claves, incluyendo la forma en la que los usuarios
autorizados tendrán acceso a ellas
243
·
Procedimientos para actualizar o cambiar claves, así como para tratar las
claves perdidas, revocación y destrucción de las mismas
·
Procedimientos para recuperación de claves que contemple la
recuperación de información cifrada
·
Registros para auditorías
3.2.5.8.8. Control del software operativo
“Se deberían establecer procedimientos para controlar la instalación de
software en los sistemas operativos”.
En lo referente al control de software que se encuentra en funcionamiento,
se realizan diversas actualizaciones por parte del personal autorizado con
autorización previa de la Dirección; en caso de la instalación de un software nuevo
se hacen pruebas de capacidad de uso y análisis de la facilidad de uso, por lo cual
también se capacita a los funcionarios sobre la utilización del mismo; además se
conservan versiones anteriores de aplicaciones como medida preventiva ante fallas.
Se debe conservar registros sobre las actualizaciones realizadas en los
sistemas a cargo de la DTT.
3.2.5.8.9. Protección de los datos de prueba del sistema
“Los datos de prueba deberían seleccionarse cuidadosamente, así como
protegerse y controlarse”.
Dentro de la DTT se realizan las pruebas necesarias a los sistemas nuevos
o en desarrollo previo a que entren en funcionamiento, pero no se ha establecido
un procedimiento formal sobre cómo se deben realizar estas pruebas, en donde se
consideren los datos que se utilizarán para las mismas.
3.2.5.8.10. Control de acceso al código fuente de los programas
“Se debería restringir el acceso al código fuente de los programas”.
Los códigos fuente de los sistemas desarrollados dentro de la DTT están a
cargo de cada funcionario que realiza el desarrollo, pero no se cuenta con una
biblioteca de códigos fuente de los sistemas desarrollados, por lo que se
recomienda establecer procedimientos para la documentación y almacenamiento
de códigos fuente de programas en una biblioteca propia, considerando:
244
·
No almacenar las bibliotecas fuente de programas en sistemas
operativos
·
El personal de soporte debe tener acceso restringido a las bibliotecas
fuente de programas
·
Actualización, mantenimiento y copiado de bibliotecas fuente, sujetos a
un procedimiento de control de cambios
·
Listado de programas que se deben mantener en un entorno seguro.
·
Registros para auditorías
3.2.5.8.11. Procedimientos de control de cambios
“Se
debería
controlar
la
implementación
de
cambios
utilizando
procedimientos formales de control de cambios”.
Para los sistemas desarrollados por personal de la DTT o externo a la
Institución se realizan procedimientos formales de control de cambios, los cuales
son documentados y aprobados previa su ejecución por parte de los usuarios
autorizados, se garantiza que los usuarios que realizaron los requerimientos
aceptan los cambios antes de la implementación, y además se conservan versiones
anteriores del sistema. En el caso de los sistemas más antiguos no se ha hecho un
control de cambios, considerando la documentación sobre dichos cambios.
3.2.5.8.12. Revisión técnica de las aplicaciones después de los cambios en el sistema
operativo
“Cuando se cambian los sistemas operativos, las aplicaciones críticas para
el negocio se deberían revisar y someter a prueba para asegurar que no hay
impacto adverso en las operaciones ni en la seguridad de la organización”.
En el caso de sistemas desarrollados por personal externo, se garantiza que
en el plan y presupuesto de soporte anual se cubren revisiones y pruebas del
sistema. La implementación de los cambios en los sistemas la mayoría de veces
no es planificada con anterioridad y no se hace la socialización oportuna a todos
los funcionarios para evitar perturbar los procesos que se realicen en los sistemas
a modificarse.
245
3.2.5.8.13. Restricciones en los cambios a los paquetes de software
“Se debería desalentar la realización de modificaciones a los paquetes de
software, limitarlas a los cambios necesarios, y todos los cambios se deberían
controlar estrictamente”.
En los sistemas desarrollados por la DTT, sea por sus propios funcionarios
o por proveedores externos, se tienen restricciones en los cambios del software en
donde se define que solo el proveedor puede hacer dichos cambios, y también los
funcionarios de la DTT solicitan la aprobación del Director para la realización de
cambios en sistemas que se encuentre desarrollando.
Para otros sistemas administrados por la Dirección, se realiza la autorización
de cambios en paquetes de software, por lo cual los funcionarios de la Institución
deben solicitar previa y formalmente la realización de estos cambios a los
administradores respectivos.
3.2.5.8.14. Fuga de información
“Se deberían evitar las oportunidades para que se produzca fuga de
información”.
Dentro de la DTT no se han establecido políticas formales que limiten el
riesgo de fuga de información, por lo que se plantea la utilización de este control
que considera: la exploración de medios y comunicaciones de salida para
determinar información oculta, la reducción de la probabilidad de que se pueda
deducir información a partir del comportamiento de las comunicaciones, monitoreo
de actividades del personal y del sistema rigiéndose a la legislación o reglamentos
existentes y el monitoreo del uso de los recursos en los sistemas de computador.
3.2.5.8.15. Desarrollo de software contratado externamente
“La organización debería supervisar y monitorear el desarrollo de software
contratado externamente”.
En los casos en los que la DTT contrata a un proveedor de software para el
desarrollo de algún proyecto, se establece un contrato que debe cumplirse
estrictamente, en donde se consideran lineamientos como: acuerdos sobre
licencias, propiedad de códigos y derecho de propiedad intelectual, certificación de
la calidad, sanciones económicas en caso de incumplimientos, requisitos para la
246
calidad y funcionalidad de la seguridad del código y realización de pruebas antes
de la instalación.
3.2.5.8.16. Control de las vulnerabilidades técnicas
“Se debería obtener información oportuna sobre las vulnerabilidades
técnicas de los sistemas de información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las acciones apropiadas para
tratar los riesgos asociados”.
Dentro de la DTT no se realiza este control de vulnerabilidades técnicas, por
lo cual se considera necesaria la utilización de este control, teniendo en cuenta
como punto de partida el listado inicial de vulnerabilidades encontradas en los
servicios a cargo de la DTT obtenido en el desarrollo de este proyecto, que realiza
un análisis detallado de las vulnerabilidades encontradas y plantea el tratamiento
para las mismas, con lo cual se logrará la minimización de riesgos en la seguridad
de la información. Para la identificación de las vulnerabilidades técnicas se debe
tomar en cuenta lo siguiente:
·
La dirección debe realizar el monitoreo de la vulnerabilidad, la
evaluación de riesgos de la vulnerabilidad, el uso de parches, rastreo
de activos y todas las responsabilidades de coordinación requeridas.
·
Identificar los recursos que se utilizarán para identificar las
vulnerabilidades técnicas, y actualizarlos en función de los cambios
en el inventario o cuando se encuentran recursos nuevos o útiles.
·
Estructurar una línea de tiempo para reacción ante la presencia de
vulnerabilidades técnicas.
·
De acuerdo a la urgencia con la que se deba tratar la vulnerabilidad
técnica, la acción a tomar dependerá de los procedimientos de
respuesta ante incidentes de seguridad de la información.
·
Se deben evaluar los riesgos asociados a la instalación de nuevos
parches.
·
En caso de no tener parches disponibles, se debe considerar: apagar
los servicios o capacidades relacionadas con la vulnerabilidad,
adaptar o agregar controles de acceso como firewalls en las fronteras
247
de la red, aumentar el monitoreo para detectar o prevenir ataques
reales y crear conciencia sobre la vulnerabilidad.
·
3.2.5.9.
Conservar registros de auditorías para los procedimientos efectuados.
Gestión de los incidentes de la seguridad de la información
3.2.5.9.1. Reportes sobre los eventos de seguridad de la información
“Los eventos de seguridad de la información se deberían informar a través
de los canales de gestión apropiados tan pronto como sea posible”.
Se tiene reportes sobre eventos de seguridad de la información para los
sistemas y servicios a cargo de la DTT cuando se tienen problemas en el
funcionamiento de estos sistemas, los reportes se registran por medio del servicio
de Help Desk o vía correo electrónico según sea el caso, para que sea resuelto por
el personal de soporte técnico asignado o para que sea escalado a los
administradores del sistema que presenta novedades. La mayoría de funcionarios
de la Institución no han recibido una capacitación sobre eventos de seguridad que
puedan comprometer de forma importante la seguridad de la información, por lo
que la mayoría de reportes que se generan son para solución de problemas
técnicos.
3.2.5.9.2. Reporte sobre las debilidades en la seguridad
“Se debería exigir a todos los empleados, contratistas y usuarios de terceras
partes de los sistemas y servicios de información que observen y reporten todas las
debilidades observadas o sospechadas en los sistemas o servicios”.
Se realizan reportes sobre debilidades en la seguridad de la información en
sistemas desarrollados en la DTT para realizar las modificaciones necesarias en
los mismos. Los reportes sobre debilidades en la seguridad de la información
encontradas en sistemas administrados por la DTT se deben realizar mediante el
servicio Help Desk.
248
3.2.5.9.3. Responsabilidades y procedimientos
“Se deberían establecer las responsabilidades y los procedimientos de
gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de
seguridad de la información”.
Dentro
de
la
Dirección
Nacional
de
Desarrollo
Tecnológico
en
Telecomunicaciones se tienen asignadas responsabilidades para resolver
problemas en los sistemas que administra, y se tienen procedimientos para la
resolución de estos problemas, pero dichos procedimientos no se encuentran
formalizados, por lo que se recomienda la formalización de los procedimientos para
resolver incidentes en la seguridad de la información, considerando:
·
Manejar los diferentes tipos de incidentes como: fallas en el sistema
de información y pérdida del servicio, códigos maliciosos, negación
del servicio, errores producidos por datos incompletos o inexactos,
violaciones de la confidencialidad o integridad y uso inadecuado de
los sistemas de información.
·
Planes normales de contingencia, contando con el análisis y la
identificación de la causa del incidente, la contención, planificación e
implementación de la acción correctiva para evitar la recurrencia, la
comunicación con los afectados o implicados en la recuperación del
incidente y el reporte de la acción a la autoridad apropiada.
·
Recolectar y asegurar pistas para auditorías.
·
Las acciones para la recuperación de las violaciones de seguridad y
corrección de fallas se deben controlar con procedimientos que
garanticen que: el personal claramente identificado y autorizado tiene
acceso a los sistemas de datos activos, todas las acciones de
emergencia están documentadas en detalle, la acción de emergencia
se reporta a la dirección y se revisa de manera ordenada, la integridad
de los sistemas y controles se confirma con un mínimo de retraso.
3.2.5.9.4. Aprendizaje debido a los incidentes de seguridad de la información
“Deberían existir mecanismos que permitan cuantificar y monitorear todos
los tipos, volúmenes y costos de los incidentes de seguridad de la información”.
Se debe utilizar la información que se obtiene de la evaluación de los
incidentes de la seguridad de la información, para identificar los incidentes
249
recurrentes o de alto impacto, en el caso de la DTT, este aprendizaje no se ha
realizado anteriormente, por lo cual el desarrollo de este proyecto sirve como punto
de partida para la cuantificación y monitoreo de los incidentes en la seguridad de la
información.
3.2.5.9.5. Recolección de evidencias
“Cuando una acción de seguimiento contra una persona u organización
después de un incidente de la seguridad de la información implica acciones legales
(civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir
con las reglas para la evidencia establecidas en la jurisdicción pertinente”.
Dentro de la DTT no se han desarrollado procedimientos internos para
recolección y presentación de evidencia con propósitos de acción disciplinaria
dentro o fuera de la Institución, por lo que se recomienda el desarrollo de dichos
procedimientos, considerando:
·
Si la evidencia se puede o no presentar en la corte
·
Protección consistente de la calidad y cabalidad de la evidencia
La utilización de los procedimientos para la recolección de evidencias en los
servicios a cargo de la DTT establecidos por este control se deberá realizar cuando
así lo amerite, y debe ser aplicado al servicio específico que se vea implicado.
3.2.5.10. Gestión de la continuidad del negocio
3.2.5.10.1. Inclusión de la seguridad de la información en el proceso de gestión de la
continuidad del negocio
“Se debería desarrollar y mantener un proceso de gestión para la continuidad
del negocio en toda la organización el cual trate los requisitos de la seguridad de la
información necesarios para la continuidad del negocio de la organización”.
Actualmente la DTT no cuenta con un proceso formalizado que realice la
gestión para la continuidad del negocio, en donde se detallen los requisitos para la
seguridad de la información que garanticen la continuidad del negocio; si bien se
cuenta con respaldos de algunos servicios en los equipos de la Intendencia
Regional Sur, no se ha establecido un procedimiento que determine qué servicios
250
deberían ser respaldados en ésta u otra ubicación para garantizar su
funcionamiento continuo.
Los procedimientos para la gestión de la continuidad del negocio deben
considerar:
·
Comprensión de los riesgos que enfrenta la organización en términos
de probabilidad y el impacto en el tiempo, incluyendo la identificación
y priorización de los procesos críticos del negocio.
·
Identificación de todos los activos involucrados en los procesos
críticos del negocio.
·
Compresión del impacto que puedan tener las interrupciones
causadas por incidentes de la seguridad de la información, y
establecer los objetivos del negocio para los servicios de
procesamiento de la información.
·
Consideración de adquisición de pólizas de seguro adecuadas que
puedan formar parte de todo el proceso de continuidad del negocio y
de la gestión de riesgos operativos.
·
Identificación y consideración de la implementación de controles
preventivos.
·
Identificación de recursos financieros, organizacionales, técnicos y
ambientales suficientes para tratar los requisitos identificados de la
seguridad de la información.
·
Garantizar la seguridad del personal y la protección de los servicios
de procesamiento de
información y de la propiedad de la
organización.
·
Formulación y documentación de los planes de continuidad del
negocio que abordan los requisitos de la seguridad de la información,
acorde con la estrategia acordada de continuidad del negocio.
·
Prueba y actualización regular de los planes y procesos establecidos.
·
Garantizar que la gestión de la continuidad del negocio está
incorporada en los procesos y la escritura de la organización; la
responsabilidad por el proceso de gestión de la continuidad del
negocio se debería asignar en un nivel apropiado en la organización.
251
3.2.5.10.2. Continuidad del negocio y evaluación de riesgos
“Se deberían identificar los eventos que pueden ocasionar interrupciones en
los procesos del negocio junto con la probabilidad y el impacto de dichas
interrupciones, así como sus consecuencias para la seguridad de la información”.
Los aspectos de la seguridad de la información en la continuidad del negocio
se deben basar en la identificación de los eventos en la seguridad de la información,
por lo cual se considera que el desarrollo de este proyecto sirve como un análisis
inicial sobre las vulnerabilidades que pueden presentarse en los servicios a cargo
de la DTT y sus respectivos impactos, haciendo una valoración de la probabilidad
de ocurrencia de las mismas, del impacto de acuerdo al tiempo sin funcionamiento
de un servicio y de la pérdida de información que pueda producirse.
Dependiendo de los resultados de la evaluación de riesgos, se debe
desarrollar una estrategia de continuidad del negocio para determinar el enfoque
global para la continuidad del negocio. Una vez que se ha creado esta estrategia,
la Dirección debe aprobarla y se debe crear y respaldar un plan para la
implementación de esta estrategia.
3.2.5.10.3. Desarrollo e implementación de planes de continuidad que incluyan la
seguridad de la información
“Se deberían desarrollar e implementar planes para mantener o recuperar
las operaciones y asegurar la disponibilidad de la información en el grado y la escala
de tiempo requerido, después de la interrupción o la falla de los procesos críticos
para el negocio”.
La DTT no ha desarrollado planes de continuidad en donde se incluya la
seguridad de la información, por lo que se plantea la creación de los mismos,
teniendo en cuenta lo siguiente:
·
Identificar y acordar todas las responsabilidades y los procedimientos
para la continuidad del negocio
·
Identificar la pérdida aceptable de información y servicios
·
Implementar los procedimientos que permitan recuperar y restaurar
las operaciones del negocio y la disponibilidad de la información en
las escalas de tiempo requeridas; es necesario atender una
252
evaluación de las dependencias internas y externas del negocio y de
los contratos establecidos
·
Procedimientos operativos que se han de seguir en espera de la
terminación de la recuperación y restauración
·
Documentación de procedimientos y procesos acordados
·
Formación apropiada del personal en los procedimientos y procesos
acordados, incluyendo el manejo de la crisis
·
Pruebas y actualización de los planes
Los planes de continuidad del negocio se deben almacenar en un lugar
lejano, a suficiente distancia para escapar a cualquier daño por algún desastre en
la sede principal y se debe garantizar que las copias de los planes de continuidad
del negocio están actualizadas y protegidas de igual forma que en la sede principal.
3.2.5.10.4. Estructura para la planificación de la continuidad del negocio
“Se debería mantener una sola estructura de los planes de continuidad del
negocio, para asegurar que todos los planes son consistentes, y considerar los
requisitos de la seguridad de la información de forma consistente, así como
identificar las prioridades para pruebas y mantenimiento”.
Dentro de la DTT no se han definido planes de continuidad del negocio, por
lo que no se ha definido una sola estructura para los mismos. Estos planes de
continuidad se deben considerar en la programación de gestión de cambios de la
organización para garantizar el tratamiento adecuado de los aspectos de la
continuidad del negocios, y se deben asignar a los funcionarios correspondientes
para que sean responsables del mantenimiento de los planes de continuidad. La
planificación de la continuidad del negocio debe considerar:
·
Las condiciones para la activación de los planes que describen el
proceso a seguir (por ejemplo, la forma de evaluar la situación y quién
se va a involucrar) antes de activar cada plan
·
Los procedimientos de emergencia que describen las acciones por
realizar tras un incidente que ponga en peligro las operaciones del
negocio
·
Los procedimientos de respaldo que describen
las acciones por
realizar para desplazar las actividades esenciales del negocio o los
253
servicios de soporte a lugares temporales alternos y para devolver la
operatividad de los procesos del negocio en los plazos requeridos
·
Los procedimientos operativos temporales por seguir mientras se
terminan la recuperación y la restauración
·
Los procedimientos de reanudación que describen las acciones por
realizar para que las operaciones del negocio vuelvan a la normalidad
·
Una programación de mantenimiento que especifique cómo y cuándo
se realizarán pruebas al plan y el proceso para el mantenimiento del
plan
·
Actividades de concienciación, educación y formación diseñadas para
comprender los procesos de continuidad del negocio y garantizar que
los procesos siguen siendo eficaces
·
Las responsabilidades de las personas, que describan quién es
responsable de la ejecución de cada componente del plan. Si se
requiere, se deberían nombrar suplentes
·
Los activos y recursos críticos necesarios para ejecutar los
procedimientos de emergencia, respaldo y reanudación
3.2.5.10.5. Pruebas, mantenimiento y reevaluación de los planes de continuidad del
negocio
“Los planes de continuidad del negocio se deberían someter a pruebas y
revisiones periódicas para asegurar su actualización y su eficacia”.
Una vez que la DTT cuente con planes para la continuidad del negocio, se
deberán realizar pruebas, mantenimiento y reevaluación de los mismos,
considerando lo siguiente:
·
La prueba sobre papel de varios escenarios (analizando las
disposiciones
de
recuperación
con
ayuda
de
ejemplos
de
interrupciones)
·
Las simulaciones (particularmente para la formación del personal en
sus funciones de gestión de crisis/post-incidentes)
·
Las pruebas de recuperación técnica (garantizando que los sistemas
de información se pueden restaurar eficazmente)
254
·
Las pruebas de recuperación en un lugar alterno (ejecutando
procesos del negocio en paralelo con las operaciones de
recuperación fuera de la sede principal)
·
Las pruebas de los recursos y servicios del proveedor (asegurando
que los servicios y productos proporcionados externamente cumplirán
el compromiso contraído)
·
Los ensayos completos (probando que la organización, el personal,
el equipo, las instalaciones y los procesos pueden hacer frente a las
interrupciones)
3.2.5.11. Cumplimiento
3.2.5.11.1. Identificación de la legislación aplicable
“Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes,
así como el enfoque de la organización para cumplir estos requisitos se deberían
definir explícitamente, documentar y mantener actualizados para cada sistema de
información y para la organización”.
La Institución tiene establecido su Estatuto Orgánico pro Procesos y Plan
Operativo Anual, que define sus objetivos, por lo que los controles específicos y las
responsabilidades individuales para cumplir estos requisitos se deberían definir y
documentar de forma similar, que no solo serán aplicables a la Dirección Nacional
de Desarrollo Tecnológico en Telecomunicaciones, sino a toda la Institución por ser
un organismo del Estado.
3.2.5.11.2. Derechos de propiedad intelectual (DPI)
“Se deberían implementar procedimientos apropiados para asegurar el
cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso
del material con respecto al cual pueden existir derechos de propiedad intelectual
y sobre el uso de productos de software patentados”.
Dentro de la DTT se realizan procedimientos que aseguran que se adquiere
software de forma legal y de fuentes confiables, y se mantiene un registro de los
activos de software a cargo de cada funcionario de la DTT, pero no se tiene un
registro de los derechos de propiedad intelectual de los sistemas desarrollados en
la Dirección; para software adquirido institucionalmente se tienen documentación
255
sobre la propiedad de licencias y manuales, pero no se realiza un registro de los
usuarios a los cuales se les ha instalado el software, para no exceder el número de
usuarios permitido.
Existen casos en los que se debe instalar software autorizado que no
requiere licencia, pero no se cuenta con un registro de este software; no se han
establecido políticas formales para las condiciones de licencias apropiadas ni para
la trasferencia de software a otro responsables y en general no se cuenta con una
política que establezca los derechos de propiedad intelectual que defina el uso legal
del software y de los productos de información. Para la utilización de libros, artículos,
informes u otros documentos que cuenten con derechos de copia, se realiza la
compra autorizada de los mismos.
3.2.5.11.3. Protección de los registros de la organización
“Los registros importantes se deberían proteger contra pérdida, destrucción
y falsificación, de acuerdo con los requisitos estatutarios, reglamentarios,
contractuales y del negocio”.
En la DTT no se tiene un procedimiento formal para salvaguardar los
registros importantes aparte de la digitalización de documentos físicos, por lo que
se deberían cumplir los siguientes aspectos:
·
Se deberían publicar directrices sobre retención, almacenamiento,
manipulación y eliminación de registros e información
·
Es conveniente publicar una programación de retención que
identifique los registros y el periodo de tiempo de su retención
·
Se recomienda conservar un inventario de las fuentes de información
clave
·
Se deberían implementar los controles apropiados para proteger los
registros y la información contra pérdida, destrucción y falsificación
3.2.5.11.4. Protección de los datos y privacidad de la información personal
“Se debería garantizar la protección de los datos y la privacidad, de acuerdo
con la legislación y los reglamentos pertinentes y, si se aplica, con las cláusulas del
contrato”.
256
La información que se maneja en la institución es de carácter público, pero
se debe considerar que si los funcionarios de la Institución almacenan información
personal en los equipos del área de trabajo, son ellos los encargados de proteger
la misma. Se recomienda establecer políticas que orienten a los funcionarios en la
protección de su información personal dentro de la Institución.
3.2.5.11.5. Prevención del uso inadecuado de los servicios de procesamiento de
información
“Se debería disuadir a los usuarios de utilizar los servicios de procesamiento
de información para propósitos no autorizados”.
Los funcionarios de la Institución encargados de realizar tareas técnicas
tienen una orientación sobre la importancia del uso adecuado de los servicios de
procesamiento de la información, pero para otros funcionarios no se ha realizado
una concienciación del uso adecuado de estos recursos.
3.2.5.11.6. Reglamentación de los controles criptográficos
“Se deberían utilizar controles criptográficos que cumplan todos los acuerdos,
las leyes y los reglamentos pertinentes”.
La DTT no cuenta con una reglamentación para el uso de controles
criptográficos; de acuerdo con lo que establece este control, se debe considerar lo
siguiente:
·
Restricción de importaciones y/o exportaciones de hardware y
software
de
computadores
para
la ejecución
de funciones
criptográficas
·
Restricción de importaciones y/o exportaciones de hardware y
software de computadores diseñados para adicionarles funciones
criptográficas
·
Restricciones al uso de cifrado
·
Métodos obligatorios o discrecionales de acceso por parte de las
autoridades del país a la información cifrada mediante hardware o
software para brindar confidencialidad al contenido
257
Se debería buscar asesoría legal para garantizar el cumplimiento con las
leyes y los reglamentos nacionales. Antes de desplazar la información cifrada o los
controles criptográficos a otros países, se debería tener asesoría legal
3.2.5.11.7. Cumplimiento con las políticas y las normas de la seguridad
“Los directores deberían garantizar que todos los procedimientos de la
seguridad dentro de sus áreas de responsabilidad se llevan a cabo correctamente
para lograr el cumplimiento con las políticas y las normas de la seguridad”.
Una vez que se establezcan los diferentes controles de la Norma 27002 [6]
que serán necesarios para el tratamiento de las vulnerabilidades encontradas en
los diferentes servicios de esta Dirección, el Director deberá verificar el
cumplimiento de estos controles. Si se produjera algún incumplimiento. Se deberá:
·
Determinar la causa del incumplimiento
·
Evaluar la necesidad de acciones para garantizar que no se presenten
incumplimientos
·
Determinar e implementar la acción correctiva apropiada
·
Revisar la acción correctiva que se ejecutó
3.2.5.11.8. Verificación del cumplimiento técnico
“Los sistemas de información se deberían verificar periódicamente para
determinar el cumplimiento con las normas de implementación de la seguridad”.
El sistema de gestión de riesgos en la seguridad de la información que se
desarrolla en este proyecto provee la evaluación de riesgos inicial en los servicios
de la DTT, por lo que queda a consideración de la Dirección la aplicación de los
controles recomendados y la verificación del cumplimiento de los mismos.
En caso de que la DTT considere otras formas de verificar el cumplimiento
técnico en sus sistemas y servicios, se deberá tener especial cuidado para que no
se ponga en peligro este sistema de verificación de cumplimiento debido a la
utilización del diseño que aquí se plantea.
258
3.2.5.11.9. Controles de auditoría de los sistemas de información
“Los requisitos y las actividades de auditoría que implican verificaciones de
los sistemas operativos se deberían planificar y acordar cuidadosamente para
minimizar el riesgo de interrupciones de los procesos del negocio”.
La Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones no
cuenta con una planificación para el caso en el que se deban realizar verificaciones
de sus sistemas y servicios para fines de auditoría, por lo que se deben contemplar
los siguientes lineamientos para establecer estos procedimientos:
·
Los requisitos de auditoría se deberían acordar con la dirección
correspondiente
·
Se debería acordar y controlar el alcance de las verificaciones.
·
Las verificaciones se deberían limitar al acceso de sólo lectura del
software y los datos
·
El acceso diferente al de sólo lectura únicamente se debería permitir
para copias aisladas de archivos del sistema que se puedan borrar al
terminar la auditoría, o se debería dar protección adecuada, si existe
la obligación de conservar dichos archivos según los requisitos de
documentación de la auditoría
·
Los recursos para llevar a cabo las verificaciones se deberían
identificar explícitamente y estar disponibles
·
Se deberían identificar y acordar los requisitos para el procesamiento
especial o adicional
·
Todo acceso se debería monitorear y registrar para crear un rastreo
para referencia; el uso de rastreos de referencia de tiempo se debería
considerar para datos o sistemas críticos
·
Se recomienda documentar todos los procedimientos, requisitos y
responsabilidades
·
La persona que realiza la auditoría debería ser independiente de las
actividades auditadas
3.2.5.11.10. Protección de las herramientas de auditoría de los sistemas de información
“Se debería proteger el acceso a las herramientas de auditoría de los
sistemas de información para evitar su uso inadecuado o ponerlas en peligro”.
259
Una vez que la DTT establezca las actividades relacionadas a auditorías de
sus sistemas y servicios, se deberá proteger la información y herramientas
utilizadas para estas actividades, dando como recomendación, por ejemplo,
separar de los sistemas operativos y de desarrollo del software o archivos de datos,
y no mantenerse en librerías de cintas, salvo que se les proporcione un nivel
adecuado de protección adicional.
Existen varios controles que pueden ser aplicados a todas las actividades
que realiza la Dirección, por lo que no solamente atacan a una vulnerabilidad, sino
que sirve para mitigar todas las vulnerabilidades y son aplicables a todos los
servicios. Estos controles son:
·
Recolección de evidencias
·
Inclusión de la seguridad de la información en el proceso de gestión
de la continuidad del negocio
·
Continuidad del negocio y evaluación de riesgos
·
Desarrollo e implementación de planes de continuidad que incluyan
la seguridad de la información
·
Estructura para la planificación de la continuidad del negocio
·
Pruebas, mantenimiento y reevaluación de los planes de continuidad
del negocio
·
Identificación de la legislación aplicable
·
Protección de los registros de la organización
·
Cumplimiento con las políticas y las normas de la seguridad
·
Verificación del cumplimiento técnico
·
Protección de las herramientas de auditoría de
los sistemas de
información
·
Controles de auditoría de los sistemas de información
3.3. TRATAMIENTO DE LOS RIESGOS EN LA SEGURIDAD DE
LA INFORMACIÓN PRESENTES EN LA DTT, APLICANDO
LOS CONTROLES DE LA NORMA NTE INEN-ISO/IEC
27002:2009
260
Considerando las tablas de valoración de los riesgos de la sección 2.4.2.2
(Evaluación del riesgo), se procede a elaborar la Tabla 3.1 donde se detallan las
vulnerabilidades encontradas en los servicios de la Dirección Nacional de
Desarrollo Tecnológico en Telecomunicaciones, con su respectivo nivel del riesgo y
los controles necesarios para mitigar estas vulnerabilidades, tanto los controles
existentes aplicados a cada vulnerabilidad como los controles que no son aplicados.
En la Tabla 3.1 se colocó el número con el que se identifica cada control
dentro de la Norma 27002 [6], lo que permite una identificación más rápida de los
controles utilizados de acuerdo a la norma antes mencionada.
Cabe mencionar que se plantean los controles necesarios para mitigar todas
las vulnerabilidades que afecten a un servicio, pero se considera de mayor
importancia la aplicación de controles para las vulnerabilidades que produzcan
riesgos valorados como Muy Altos, Altos, Moderados y Bajos, porque se busca que
el riesgo sea reducido o mitigado, todo esto de acuerdo a los criterios de aceptación
del riesgo definidos en la sección 2.4.1.1.1 Criterios de aceptación del riesgo.
En el capítulo 4 se detallarán las recomendaciones necesarias para cada
control descrito en las tablas antes mencionadas.
La seguridad de la información se logra implementando un conjunto
apropiado de controles, incluyendo políticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware.
Estos controles necesitan ser establecidos, implementados, monitoreados,
revisados y mejorados, donde sea necesario, para asegurar que se cumplen los
objetivos específicos de la seguridad y del negocio una organización.
Esto debería hacerse en conjunto con otros procesos de gestión del negocio.
Sísmicos
Volcánicos
Moderado
Alto
Falta de capacitación del
personal sobre cómo
reaccionar ante un evento
sísmico
No asegurar correctamente
la ubicación de los equipos
Alto
Moderado
Falta de capacitación del
personal sobre cómo
reaccionar ante una
erupción volcánica
No realizar la renovación
oportuna de equipos
Bajo
Mal mantenimiento del
sistema de Control de
acceso al Centro de
Cómputo
Fuego
Bajo
Alto
No se realiza un
mantenimiento periódico del
Sistema Contra incendios
Destrucción del
equipo
Nivel del
Riesgo
Vulnerabilidad
Amenaza
Servidores
RISC e Intel
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
Telefonía IP
Switching y
Routing
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
Servicios
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Ubicación y protección de los equipos
9.2.1
Responsabilidades y procedimientos
13.2.1
Protección contra amenazas externas y
ambientales 9.1.4
Responsabilidades y procedimientos
13.2.1
Protección contra amenazas externas y
ambientales 9.1.4
Reporte sobre las debilidades en la
seguridad 13.1.2
Medios físicos en tránsito 10.8.3
Responsabilidades y procedimientos
13.2.1
Responsabilidades y procedimientos
13.2.1
Servicio de suministro 9.2.2
Controles existentes
Control de la vulnerabilidades
técnicas 12.6.1
Registro de auditorías 10.10.1
Control de la vulnerabilidades
técnicas 12.6.1
Control de la vulnerabilidades
técnicas 12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
261
Falla en el equipo
de
telecomunicaciones
Pérdida de
suministro de
energía
Falla en el
sistema de
suministro de
agua y aire
acondicionado
Climáticos
Amenaza
No se tiene una
documentación de los
monitoreos que se realizan a
los enlaces WAN
Conexión deficiente de los
cables
Moderado
Bajo
Switching y
Routing
Moderado
Switching y
Routing
Telefonía IP
Oracle
DNS, DHCP,
NTP
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
Servicios
Moderado
Bajo
No tener correctas
instalaciones eléctricas
No revisar periódicamente la
conexión entre el sistema de
UPS y la red de energía
eléctrica en el edificio.
Moderado
Mal mantenimiento de los
sistemas de Aire
Acondicionado
Moderado
Moderado
Filtración de agua en la
estructura del edificio
Desestabilización de la red de
energía eléctrica en el sector
del edificio matriz
Nivel del
Riesgo
Vulnerabilidad
Seguridad de los servicios de red 10.6.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Seguridad del cableado 9.2.3
Responsabilidades y procedimientos
13.2.1
Responsabilidades y procedimientos
13.2.1
Servicio de suministro 9.2.2
Seguridad del cableado 9.2.3
Responsabilidades y procedimientos
13.2.1
Servicio de suministro 9.2.2
Responsabilidades y procedimientos
13.2.1
Responsabilidades y procedimientos
13.2.1
Protección contra amenazas externas y
ambientales 9.1.4
Protección contra amenazas externas y
ambientales 9.1.4
Controles existentes
Documentación de los procedimientos
de operación 10.1.1
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
262
Espionaje remoto
Falla en el
sistema de
alimentación
ininterrumpida
(UPS)
Falla en el equipo
de
telecomunicaciones
Amenaza
Moderado
Bajo
Falta de certificado de
seguridad para las Páginas
Web
Bajo
Bajo
Moderado
Nivel del
Riesgo
Mal mantenimiento de los
Sistemas de Alimentación
Ininterrumpida (UPS)
Administración incorrecta de
los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
No se tiene una
documentación de los
monitoreos que se realizan a
los enlaces WAN
Vulnerabilidad
SICOEIR
TODOS LOS
SERVICIOS
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Antivirus
Oracle
Servicios
Control del enrutamiento en la red 11.4.7
Seguridad de los servicios de red 10.6.2
Controles contra códigos maliciosos
10.4.1
Responsabilidades y procedimientos
13.2.1
Servicio de suministro 9.2.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Control del enrutamiento en la red 11.4.7
Protección del registro de la información
10.10.3
Gestión del cambio 10.1.2
Responsabilidades y procedimientos
13.2.1
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Registros del administrador y del
operador 10.10.4
Registro de auditorías 10.10.1
Reporte sobre los eventos de seguridad
de la información 13.1.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Controles faltantes
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
263
Espionaje remoto
Amenaza
No monitorear
adecuadamente los accesos
al servidor SFTP de forma
externa
Administración incorrecta de
los parámetros de
funcionamiento de los
firewalls
Falta de certificado de
seguridad para las Páginas
Web
Vulnerabilidad
Bajo
Bajo
Moderado
Nivel del
Riesgo
SICOEIR
DNS, DHCP,
NTP
Recursos
Compartidos
Oracle
Virtualización
RISC e Intel
SICOEIR
Servicios
Reporte sobre los eventos de seguridad
de la información 13.1.1
Restricción del acceso a la información
11.6.1
Control de conexión a las redes 11.4.6
Política de control de acceso 11.1.1
Monitoreo de uso del sistema 10.10.2
Controles contra códigos maliciosos
10.4.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Protección del registro de la información
10.10.3
Seguridad de los servicios de red 10.6.2
Gestión del cambio 10.1.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Controles existentes
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
264
Escucha
encubierta
Espionaje remoto
Amenaza
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
No se tiene una
documentación de los
monitoreos que se realizan a
los enlaces WAN
No monitorear
adecuadamente los accesos
al servidor SFTP de forma
externa
Vulnerabilidad
Bajo
Moderado
Moderado
Nivel del
Riesgo
Sistema de gestión de contraseñas
11.5.3
Virtualización
RISC e Intel
Reporte sobre los eventos de seguridad
de la información 13.1.1
Uso de contraseñas 11.3.1
Revisión de los derechos de acceso de
los usuarios 11.2.4
Gestión de contraseñas para usuarios
11.2.3
Seguridad de la documentación del
sistema 10.7.4
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Seguridad de los servicios de red 10.6.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Controles existentes
SICOEIR
Oracle
Antivirus
Recursos
Compartidos
Switching y
Routing
Recursos
Compartidos
Oracle
Servicios
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Registros del administrador y del
operador 10.10.4
Registro de auditorías 10.10.1
Documentación de los procedimientos
de operación 10.1.1
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
265
Escucha
encubierta
Amenaza
Asignación errada de
derechos de acceso al
servidor SFTP
No encriptar la información
Moderado
Alto
Bajo
Moderado
Bajo
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
No se tiene una planificación
de monitoreos periódicos a
los enlaces WAN
Nivel del
Riesgo
Vulnerabilidad
Monitoreo de uso del sistema 10.10.2
Antivirus
SICOEIR
SICOEIR
Switching y
Routing
Recursos
Compartidos
Control de conexión a las redes 11.4.6
Política de control de acceso 11.1.1
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Seguridad de los servicios de red 10.6.2
SICOEIR
DNS, DHCP,
NTP
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Controles existentes
Switching y
Routing
Oracle
DNS, DHCP,
NTP
Servicios
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Reglamentación de los controles
criptográficos 15.1.6
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Gestión de Claves 12.3.2
Política sobre el uso de controles
criptográficos 12.3.1
Integridad del mensaje 12.2.3
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
266
Escucha
encubierta
Amenaza
Mal manejo de la
compartición de la
información
Administración incorrecta de
los parámetros de
funcionamiento de los
firewalls
Asignación errada de
derechos de acceso al
servidor SFTP
Vulnerabilidad
Virtualización
RISC e Intel
Moderado
Bajo
Recursos
Compartidos
Bajo
SICOEIR
Virtualización
RISC e Intel
Servicios
Oracle
Recursos
Compartidos
DNS, DHCP,
NTP
Moderado
Nivel del
Riesgo
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de la seguridad 12.1.1
Protección del registro de la información
10.10.3
Sistemas de información del negocio
10.8.5
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Etiquetado y manejo de la información
7.2.2
Fuga de información 12.5.4
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Registro de fallas 10.10.5
Protección del registro de la información
10.10.3
Reporte sobre las debilidades en la
seguridad 13.1.2
Registros del administrador y del
operador 10.10.4
Controles faltantes
Seguridad de los servicios de red 10.6.2
Gestión del cambio 10.1.2
Responsabilidades y procedimientos
13.2.1
Control de procesamiento interno 12.2.2
Restricción del acceso a la información
11.6.1
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
267
Divulgación
Hurto de equipo
Escucha
encubierta
Amenaza
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Administración inadecuada de
los equipos del área de
trabajo disponibles para su
uso
Mal manejo de la
compartición de la
información
Vulnerabilidad
Moderado
Alto
Moderado
Nivel del
Riesgo
Antivirus
Recursos
Compartidos
Telefonía IP
DNS, DHCP,
NTP
Servicios
Reporte sobre las debilidades en la
seguridad 13.1.2
Sistema de gestión de contraseñas
11.5.3
Uso de contraseñas 11.3.1
Revisión de los derechos de acceso de
los usuarios 11.2.4
Gestión de contraseñas para usuarios
11.2.3
Seguridad de la documentación del
sistema 10.7.4
Responsabilidades y procedimientos
13.2.1
Procedimientos para el manejo de la
información 10.7.3
Computación y comunicaciones móviles
11.7.1
Identificación de los equipos en las redes
11.4.3
Responsabilidades y procedimientos
13.2.1
Medios físicos en tránsito 10.8.3
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Controles existentes
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Registro de auditorías 10.10.1
Registros del administrador y del
operador 10.10.4
Seguridad en la reutilización o
eliminación de los equipos 9.2.6
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
268
Divulgación
Amenaza
Bajo
Moderado
Mal manejo de la
compartición de la
información
Bajo
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Falta de control de acceso a
las carpetas compartidas
Nivel del
Riesgo
Vulnerabilidad
Recursos
Compartidos
Virtualización
RISC e Intel
Recursos
Compartidos
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Oracle
SICOEIR
Servicios
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Etiquetado y manejo de la información
7.2.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Restricción del acceso a la información
11.6.1
Control de conexión a las redes 11.4.6
Política de control de acceso 11.1.1
Monitoreo de uso del sistema 10.10.2
Sistemas de información del negocio
10.8.5
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Controles existentes
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Políticas y procedimientos para el
intercambio de información 10.8.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
269
Datos
provenientes de
fuentes no
confiables
Mala administración de los
registros de direcciones MAC
de los equipos para acceso a
la red inalámbrica y telefonía
IP
No deshabilitar puertos no
utilizados en equipos de
conectividad
Bajo
Mal manejo de la
compartición de la
información
Divulgación
DNS, DHCP,
NTP
Bajo
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Responsabilidades y procedimientos
13.2.1
Separación en las redes 11.4.5
Telefonía IP
Telefonía IP
Control de la vulnerabilidades técnicas
12.6.1
Reporte sobre las debilidades en la
seguridad 13.1.2
DNS, DHCP,
NTP
Controles faltantes
Fuga de información 12.5.4
Responsabilidades y procedimientos
13.2.1
Protección de los puertos de
configuración y diagnóstico remoto 11.4.4
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de la seguridad 12.1.1
Protección del registro de la información
10.10.3
Sistemas de información del negocio
10.8.5
Controles existentes
Control del enrutamiento en la red 11.4.7
Switching y
Routing
Virtualización
RISC e Intel
Servicios
Moderado
Bajo
Moderado
Nivel del
Riesgo
Vulnerabilidad
Amenaza
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
270
Moderado
Falta de certificado de
seguridad para las Páginas
Web
No se hace una verificación
periódica de la seguridad de
los switches de acceso en
cada piso
No tener soporte por parte del
proveedor del software
Datos
provenientes de
fuentes no
confiables
Manipulación con
hardware
Manipulación con
software
Moderado
Bajo
Vulnerabilidad
Amenaza
Nivel del
Riesgo
Antivirus
Virtualización
RISC e Intel
Switching y
Routing
SICOEIR
Servicios
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Revisión técnica de las aplicaciones
después de los cambios en el sistema
operativo 12.5.2 (para sistemas antiguos)
Responsabilidades y procedimientos
13.2.1
Control del software operativo 12.4.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control del enrutamiento en la red 11.4.7
Seguridad de los servicios de red 10.6.2
Controles contra códigos maliciosos
10.4.1
Controles existentes
Control de la vulnerabilidades técnicas
12.6.1
Documentación de los procedimientos
de operación 10.1.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
271
Manipulación con
software
Amenaza
Tener administradores de
segundo nivel que puedan
hacer cambios no autorizados
Bajo
Moderado
Bajo
Asignación errada de
derechos de acceso
Asignación errada de
derechos de acceso
Nivel del
Riesgo
Vulnerabilidad
Restricción del acceso a la información
11.6.1
Control del enrutamiento en la red 11.4.7
Control de conexión a las redes 11.4.6
DNS, DHCP,
NTP
Switching y
Routing
Política de control de acceso 11.1.1
Protección del registro de la información
10.10.3
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Distribución de funciones 10.1.3
Restricción del acceso a la información
11.6.1
Control del enrutamiento en la red 11.4.7
Control de conexión a las redes 11.4.6
Política de control de acceso 11.1.1
Autenticación de usuarios para
conexiones externas 11.4.2
Protección del registro de la información
10.10.3
Procedimientos para el manejo de la
información 10.7.3
Distribución de funciones 10.1.3
Controles existentes
Antivirus
SICOEIR
Recursos
Compartidos
Antivirus
Recursos
Compartidos
Servicios
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
272
Manipulación con
software
Amenaza
Bajo
Moderado
No realizar un monitoreo
periódico de la disponibilidad
de los servicios y sistemas de
la DTT
Moderado
Bajo
Nivel del
Riesgo
No verificar la actualización
de la información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Administración inadecuada de
las cuentas de usuario en
Active Directory
Tener administradores de
segundo nivel que puedan
hacer cambios no autorizados
Vulnerabilidad
Antivirus
Recursos
Compartidos
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Telefonía IP
DNS, DHCP,
NTP
Recursos
Compartidos
Servicios
Reporte sobre las debilidades en la
seguridad 13.1.2
Revisión técnica de las aplicaciones
después de los cambios en el sistema
operativo 12.5.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Registro de auditorías 10.10.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Registros del administrador y del
operador 10.10.4
Reporte sobre los eventos de seguridad
de la información 13.1.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Registro de auditorías 10.10.1
Controles faltantes
Sistema de gestión de contraseñas
11.5.3
Responsabilidades y procedimientos
13.2.1
Gestión del cambio 10.1.2
Control de procesamiento interno 12.2.2
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
273
Manipulación con
software
Amenaza
No realizar la renovación
oportuna del dominio de la
página web
Administración incorrecta de
los parámetros de
funcionamiento de los
firewalls
No realizar un monitoreo
periódico de la disponibilidad
de los servicios y sistemas de
la DTT
Vulnerabilidad
Alto
Bajo
Moderado
Bajo
Moderado
Nivel del
Riesgo
SICOEIR
DNS, DHCP,
NTP
Recursos
Compartidos
Oracle
Virtualización
RISC e Intel
SICOEIR
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Telefonía IP
Oracle
Switching y
Routing
Servicios
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Controles contra códigos maliciosos
10.4.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Protección del registro de la información
10.10.3
Seguridad de los servicios de red 10.6.2
Gestión del cambio 10.1.2
Responsabilidades y procedimientos
13.2.1
Controles existentes
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
274
Falta de
respaldos
Falta de planificación sobre la
capacidad de procesamiento
de la información
Manipulación con
software
Bajo
No respaldar la información
generada de forma periódica
Virtualización
RISC e Intel
Virtualización
RISC e Intel
Virtualización
RISC e Intel
Bajo
Bajo
SICOEIR
Oracle
Virtualización
RISC e Intel
SICOEIR
Alto
Moderado
Moderado
Oracle
Bajo
Recursos
Compartidos
Servicios
Nivel del
Riesgo
Falla de los archivos de
respaldo
Falta de mantenimiento de las
bases de datos
Vulnerabilidad
Amenaza
Computación y comunicaciones móviles
11.7.1
Responsabilidades y procedimientos
13.2.1
Respaldo de la información 10.5.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Respaldo de la información 10.5.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de la seguridad 12.1.1 (Fase inicial del
proyecto)
Gestión de la capacidad 10.3.1
Controles existentes
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
275
Falta de
respaldos
Amenaza
Muy Alto
Bajo
No tener respaldado el código
fuente del desarrollo de
software dentro de la DTT
Alto
Moderado
Nivel del
Riesgo
Tener archivos de respaldos
en los mismos equipos del
Centro de Cómputo principal
No respaldar la información
de configuración de los
servidores y equipos de
conectividad
No respaldar la información
generada de forma periódica
Vulnerabilidad
SICOEIR
Virtualización
RISC e Intel
SICOEIR
Servidores
RISC e Intel
Recursos
Compartidos
Oracle
DNS, DHCP,
NTP
Switching y
Routing
Virtualización
RISC e Intel
Servicios
Procedimientos de control de cambios
12.5.1
Control del software operativo 12.4.1
Protección del registro de la información
10.10.3
Respaldo de la información 10.5.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Control de procesamiento interno 12.2.2
Respaldo de la información 10.5.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Respaldo de la información 10.5.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Controles existentes
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
276
Falla en la
conexión entre
servidores
Falta de
respaldos
Amenaza
No se tiene una planificación
de monitoreos periódicos a
los enlaces WAN
No se realiza un monitoreo
periódico de los enlaces de la
red institucional (LAN)
No se dimensione
correctamente el espacio
necesario para respaldar la
información
No tener respaldado el código
fuente del desarrollo de
software dentro de la DTT
Vulnerabilidad
Moderado
Bajo
Bajo
Moderado
Moderado
Bajo
Nivel del
Riesgo
Recursos
Compartidos
SICOEIR
DNS, DHCP,
NTP
Switching y
Routing
Telefonía IP
Oracle
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
Virtualización
RISC e Intel
Oracle
Servicios
Control de la vulnerabilidades técnicas
12.6.1
Responsabilidades y procedimientos
13.2.1
Respaldo de la información 10.5.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Monitoreo de uso del sistema 10.10.2
Responsabilidades y procedimientos
13.2.1
Seguridad de los servicios de red 10.6.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Monitoreo de uso del sistema 10.10.2
Responsabilidades y procedimientos
13.2.1
Seguridad de los servicios de red 10.6.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de seguridad 12.1.1
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Control de acceso al código fuente de
los programas 12.4.3
Reporte sobre las debilidades en la
seguridad 13.1.2 (Servicios antiguos)
Monitoreo de uso del sistema 10.10.2
Controles faltantes
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
277
Falla en la
conexión entre
servidores
Falla del equipo
No realizar un monitoreo
periódico de la disponibilidad
de los servicios y sistemas de
la DTT
No realizar mantenimiento
técnico de equipos en el
Centro de Cómputo
No realizar mantenimiento
preventivo de los equipos del
área de trabajo
Vulnerabilidad
Amenaza
Bajo
Moderado
Bajo
Moderado
Nivel del
Riesgo
Virtualización
RISC e Intel
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Oracle
Servidores
RISC e Intel
Switching y
Routing
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de
seguridad de la información 13.1.1
Mantenimiento de los equipos 9.2.4
Responsabilidades y procedimientos
13.2.1
Responsabilidades y procedimientos
13.2.1
Mantenimiento de los equipos 9.2.4
Telefonía IP
Antivirus
DNS, DHCP,
NTP
Telefonía IP
Switching y
Routing
Reporte sobre las debilidades en la
seguridad 13.1.2
Revisión técnica de las aplicaciones
después de los cambios en el sistema
operativo 12.5.2
Antivirus
Monitoreo de uso del sistema 10.10.2
Controles existentes
Recursos
Compartidos
Oracle
Servicios
Control de la vulnerabilidades
técnicas 12.6.1
Control de la vulnerabilidades
técnicas 12.6.1
Control de la vulnerabilidades
técnicas 12.6.1
Registro de fallas 10.10.5
Registro de auditorías 10.10.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
278
Mal
funcionamiento
del equipo
Falla del equipo
Amenaza
No realizar mantenimiento
preventivo de los equipos del
área de trabajo
Administración inadecuada de
los equipos del área de
trabajo disponibles para su
uso
Administración incorrecta de
los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Vulnerabilidad
Responsabilidades y procedimientos
13.2.1
Switching y
Routing
Moderado
Alto
Telefonía IP
Antivirus
Telefonía IP
Moderado
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Registros del administrador y del
operador 10.10.4
Computación y comunicaciones móviles
11.7.1
Responsabilidades y procedimientos
13.2.1
Mantenimiento de los equipos 9.2.4
Registro de auditorías 10.10.1
Seguridad en la reutilización o
eliminación de los equipos 9.2.6
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Controles faltantes
Identificación de los equipos en las redes
11.4.3
Medios físicos en tránsito 10.8.3
Reporte sobre las debilidades en la
seguridad 13.1.2
DNS, DHCP,
NTP
Telefonía IP
Antivirus
Control del enrutamiento en la red 11.4.7
Protección del registro de la información
10.10.3
Gestión del cambio 10.1.2
Controles existentes
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Oracle
Servicios
DNS, DHCP,
NTP
Moderado
Bajo
Nivel del
Riesgo
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
279
Mal
funcionamiento
del software
Saturación del
sistema de
información
Mal
funcionamiento
del equipo
Amenaza
No realizar un monitoreo
periódico de la disponibilidad
de los servicios y sistemas de
la DTT
Falta de planificación sobre la
capacidad de procesamiento
de la información
Falta de planificación de la
capacidad de
almacenamiento en los
servidores
No realizar mantenimiento
técnico de equipos en el
Centro de Cómputo
Vulnerabilidad
Moderado
Bajo
Moderado
Moderado
Bajo
Bajo
Nivel del
Riesgo
Moderado
Recursos
Compartidos
Oracle
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
SICOEIR
Virtualización
RISC e Intel
Oracle
Switching y
Routing
Revisión técnica de las aplicaciones
después de los cambios en el sistema
operativo 12.5.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de la seguridad 12.1.1 (Fase inicial del
proyecto)
Registro de auditorías 10.10.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Gestión de la capacidad 10.3.1
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de seguridad 12.1.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Mantenimiento de los equipos 9.2.4
SICOEIR
Oracle
Servidores
RISC e Intel
Controles existentes
Servicios
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
280
Mal
funcionamiento
del software
Amenaza
Falta de planificación sobre la
capacidad de procesamiento
de la información
No tener respaldado el código
fuente del desarrollo de
software dentro de la DTT
No realizar un monitoreo
periódico de la disponibilidad
de los servicios y sistemas de
la DTT
Vulnerabilidad
Moderado
Bajo
Bajo
Moderado
Nivel del
Riesgo
SICOEIR
SICOEIR
Telefonía IP
DNS, DHCP,
NTP
Switching y
Routing
Antivirus
Virtualización
RISC e Intel
Servicios
Reporte sobre las debilidades en la
seguridad 13.1.2
Control de procesamiento interno 12.2.2
Análisis y especificación de los requisitos
de la seguridad 12.1.1 (Fase inicial del
proyecto)
Responsabilidades y procedimientos
13.2.1
Gestión de la capacidad 10.3.1
Reporte sobre las debilidades en la
seguridad 13.1.2 (Servicios antiguos)
Procedimientos de control de cambios
12.5.1
Control del software operativo 12.4.1
Protección del registro de la información
10.10.3
Respaldo de la información 10.5.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Controles existentes
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Control de acceso al código fuente de
los programas 12.4.3
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
281
Mal
funcionamiento
del software
Amenaza
Software nuevo o inmaduro
Falta de mantenimiento de las
bases de datos
No se ha planificado una
renovación oportuna de
licencias (Antivirus, Windows,
etc.)
Falta de planificación sobre la
capacidad de procesamiento
de la información
Vulnerabilidad
SICOEIR
Virtualización
RISC e Intel
Bajo
Bajo
SICOEIR
Oracle
Antivirus
Servicios
Alto
Moderado
Moderado
Nivel del
Riesgo
Aislamiento de sistemas sensibles
11.6.2
Integridad del mensaje 12.2.3
Gestión de los cambios en los servicios
por terceras partes 10.2.3
Registro de fallas 10.10.5
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Monitoreo y revisión de los servicios por
terceros 10.2.2
Responsabilidades y procedimientos
13.2.1
Separación de las instalaciones de
desarrollo ensayo y operación 10.1.4
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Registros del administrador y del
operador 10.10.4
Derechos de propiedad intelectual
(DPI) 15.1.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Control de la vulnerabilidades técnicas
12.6.1
Registro de auditorías 10.10.1
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control del software operativo 12.4.1
Controles contra códigos maliciosos
10.4.1
Responsabilidades y procedimientos
13.2.1
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
282
No realizar mantenimiento
preventivo de los equipos del
área de trabajo
Software nuevo o inmaduro
Mal
funcionamiento
del software
Incumplimiento
en el
mantenimiento
del sistema de
información
Vulnerabilidad
Amenaza
Moderado
Nivel del
Riesgo
Telefonía IP
Antivirus
Servicios
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Responsabilidades y procedimientos
13.2.1
Mantenimiento de los equipos 9.2.4
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Procedimientos de control de cambios
12.5.1
Revisión técnica de las aplicaciones
después de los cambios en el sistema
operativo 12.5.2
Protección de los datos de prueba del
sistema 12.4.2
Control del software operativo 12.4.1
Validación de los datos de salida 12.2.4
Análisis y especificación de los requisitos
de seguridad 12.1.1
Aceptación del sistema 10.3.2
Controles existentes
Control de la vulnerabilidades técnicas
12.6.1
Reglamentación de los controles
criptográficos 15.1.6
Control de la vulnerabilidades técnicas
12.6.1
Gestión de Claves 12.3.2
Política sobre el uso de controles
criptográficos 12.3.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
283
Incumplimiento
en el
mantenimiento
del sistema de
información
Amenaza
No se tiene una
documentación de los
monitoreos que se realizan a
los enlaces WAN
Falta de mantenimiento del
direccionamiento IP (DHCP)
Bajo
No verificar la actualización
de la información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
Moderado
Bajo
Moderado
Nivel del
Riesgo
Vulnerabilidad
Recursos
Compartidos
Oracle
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Servicios
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de
seguridad de la información 13.1.1
Seguridad de los servicios de red
10.6.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Registros del administrador y del
operador 10.10.4
Registro de auditorías 10.10.1
Documentación de los
procedimientos de operación 10.1.1
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades
técnicas 12.6.1
Fuga de información 12.5.4
Aislamiento de sistemas sensibles
11.6.2
Registro de fallas 10.10.5
Control del enrutamiento en la red
11.4.7
Reporte sobre los eventos de
seguridad de la información 13.1.1
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Separación en las redes 11.4.5
Monitoreo de uso del sistema 10.10.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Monitoreo de uso del sistema 10.10.2
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
284
Uso del software
falso, copiado o
desactualizado
Incumplimiento
en el
mantenimiento
del sistema de
información
Amenaza
Falta de mantenimiento de las
bases de datos
No actualizar el inventario de
software
No realizar la renovación
oportuna del dominio de la
página web
No se tiene una
documentación de los
monitoreos que se realizan a
los enlaces WAN
Vulnerabilidad
SICOEIR
Virtualización
RISC e Intel
Bajo
Oracle
Antivirus
DNS, DHCP,
NTP
SICOEIR
Servicios
Alto
Moderado
Moderado
Moderado
Alto
Nivel del
Riesgo
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Monitoreo de uso del sistema 10.10.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Control del software operativo 12.4.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Controles contra códigos maliciosos
10.4.1
Responsabilidades y procedimientos
13.2.1
Controles existentes
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Derechos de propiedad intelectual
(DPI) 15.1.2
Control de la vulnerabilidades técnicas
12.6.1
Registros del administrador y del
operador 10.10.4
Registro de auditorías 10.10.1
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
285
Error en el uso
No se tiene una planificación
de monitoreos periódicos a
los enlaces WAN
Procesamiento
ilegal de los
datos
No tener respaldado el código
fuente del desarrollo de
software dentro de la DTT
Administración incorrecta de
los parámetros de
funcionamiento de los
equipos de
telecomunicaciones
Vulnerabilidad
Amenaza
Bajo
Bajo
Moderado
Moderado
Oracle
Bajo
SICOEIR
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Switching y
Routing
Antivirus
Oracle
DNS, DHCP,
NTP
SICOEIR
Recursos
Compartidos
Servicios
Nivel del
Riesgo
Control del software operativo 12.4.1
Protección del registro de la información
10.10.3
Respaldo de la información 10.5.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Control del enrutamiento en la red 11.4.7
Protección del registro de la información
10.10.3
Gestión del cambio 10.1.2
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Monitoreo de uso del sistema 10.10.2
Seguridad de los servicios de red 10.6.2
Controles existentes
Registros del administrador y del
operador 10.10.4
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Políticas y procedimientos para el
intercambio de información 10.8.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
286
Error en el uso
Amenaza
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
No verificar la actualización
de la información entregada
(tanto en carpetas
compartidas como la
colocada en la web)
No tener respaldado el código
fuente del desarrollo de
software dentro de la DTT
Vulnerabilidad
Bajo
Moderado
Bajo
Nivel del
Riesgo
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Oracle
Antivirus
Recursos
Compartidos
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Servicios
Sistema de gestión de contraseñas
11.5.3
Uso de contraseñas 11.3.1
Revisión de los derechos de acceso de
los usuarios 11.2.4
Gestión de contraseñas para usuarios
11.2.3
Seguridad de la documentación del
sistema 10.7.4
Responsabilidades y procedimientos
13.2.1
Procedimientos para el manejo de la
información 10.7.3
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Control de procesamiento interno 12.2.2
Responsabilidades y procedimientos
13.2.1
Monitoreo de uso del sistema 10.10.2
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Control de acceso al código fuente de
los programas 12.4.3
Registro de fallas 10.10.5
Procedimientos de control de cambios
12.5.1
Reporte sobre las debilidades en la
seguridad 13.1.2 (Servicios antiguos)
Controles faltantes
Controles existentes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
287
Error en el uso
Amenaza
Moderado
Bajo
No llevar registro de las
modificaciones en las
configuraciones realizadas en
los equipos de conectividad
Bajo
Mal dimensionamiento del
número de usuarios del
antivirus
Administración incorrecta de
los parámetros de
funcionamiento de los
firewalls
Bajo
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Moderado
Nivel del
Riesgo
Vulnerabilidad
SICOEIR
Telefonía IP
Servidores
RISC e Intel
Antivirus
DNS, DHCP,
NTP
Recursos
Compartidos
Oracle
Reporte sobre las debilidades en la
seguridad 13.1.2
Control del enrutamiento en la red 11.4.7
Protección del registro de la información
10.10.3
Responsabilidades y procedimientos
13.2.1
Gestión del cambio 10.1.2
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Control del software operativo 12.4.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Protección del registro de la información
10.10.3
Seguridad de los servicios de red 10.6.2
Responsabilidades y procedimientos
13.2.1
Gestión del cambio 10.1.2
Virtualización
RISC e Intel
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Controles existentes
Switching y
Routing
Servicios
Registros del administrador y del
operador 10.10.4
Uso aceptable de los activos 7.1.3
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Registro de fallas 10.10.5
Registros del administrador y del
operador 10.10.4
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
288
Error en el uso
Amenaza
Uso incorrecto de Software o
Hardware
Moderado
No llevar registro de las
modificaciones en las
configuraciones realizadas en
los equipos de conectividad
Bajo
Moderado
Nivel del
Riesgo
Vulnerabilidad
Switching y
Routing
Servidores
RISC e Intel
Computación y comunicaciones
móviles 11.7.1
Telefonía IP
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de
seguridad de la información 13.1.1
Protección de los datos de prueba del
sistema 12.4.2
Control del software operativo 12.4.1
Identificación de los equipos en las
redes 11.4.3
Medios físicos en tránsito 10.8.3
Separación de las instalaciones de
desarrollo ensayo y operación 10.1.4
Responsabilidades y procedimientos
13.2.1
Controles existentes
DNS, DHCP,
NTP
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Servicios
Derechos de propiedad intelectual
(DPI) 15.1.2
Control de la vulnerabilidades
técnicas 12.6.1
Registro de fallas 10.10.5
Monitoreo y revisión de los servicios
por terceros 10.2.2
Control de la vulnerabilidades
técnicas 12.6.1
Registro de fallas 10.10.5
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
289
Vulnerabilidad
Falta de conciencia acerca de
la seguridad
Falta de control de acceso a
las carpetas compartidas
Amenaza
Error en el uso
Abuso de
derechos
Bajo
Bajo
Moderado
Nivel del
Riesgo
Recursos
Compartidos
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Servidores
RISC e Intel
Oracle
Fuga de información 12.5.4
Política de escritorio despejado y de
pantalla despejada 11.3.3.
Procedimientos para el manejo de la
información 10.7.3
Registro de fallas 10.10.5
Políticas y procedimientos para el
intercambio de información 10.8.1
Reglamentación de los controles
criptográficos 15.1.6
Reporte sobre las debilidades en la
seguridad 13.1.2
Responsabilidades y procedimientos
13.2.1
Prevención del uso inadecuado de los
servicios de procesamiento de
información 15.1.5
Protección de los datos y privacidad de
la información personal 15.1.4
Reporte sobre los eventos de seguridad
de la información 13.1.1
Análisis y especificación de los requisitos
de seguridad 12.1.1
Derechos de propiedad intelectual
(DPI) 15.1.2
Gestión de Claves 12.3.2
Equipo de usuario desatendido 11.3.2
Telefonía IP
Computación y comunicaciones móviles
11.7.1
Política sobre el uso de controles
criptográficos 12.3.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Educación, formación y concienciación
sobre la seguridad de la información
8.2.2
Controles faltantes
Uso de contraseñas 11.3.1
Protección del registro de la información
10.10.3
Sistemas de información del negocio
10.8.5
Acuerdos para el intercambio 10.8.3
Procedimientos para el manejo de la
información 10.7.3
Controles existentes
Switching y
Routing
Antivirus
SICOEIR
Recursos
Compartidos
Servicios
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
290
Abuso de
derechos
Amenaza
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Asignación errada de
derechos de acceso al
servidor SFTP
Falta de control de acceso a
las carpetas compartidas
Vulnerabilidad
Bajo
Bajo
Moderado
Bajo
Nivel del
Riesgo
Virtualización
RISC e Intel
SICOEIR
Oracle
SICOEIR
Virtualización
RISC e Intel
Servicios
Seguridad de la documentación del
sistema 10.7.4
Responsabilidades y procedimientos
13.2.1
Procedimientos para el manejo de la
información 10.7.3
Control de procesamiento interno 12.2.2
Restricción del acceso a la información
11.6.1
Control de conexión a las redes 11.4.6
Política de control de acceso 11.1.1
Responsabilidades y procedimientos
13.2.1
Procedimientos para el manejo de la
información 10.7.3
Reporte sobre las debilidades en la
seguridad 13.1.2
Restricción del acceso a la información
11.6.1
Control de conexión a las redes 11.4.6
Política de control de acceso 11.1.1
Monitoreo de uso del sistema 10.10.2
Sistemas de información del negocio
10.8.5
Controles existentes
Control de la vulnerabilidades técnicas
12.6.1
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Políticas y procedimientos para el
intercambio de información 10.8.1
Control de la vulnerabilidades técnicas
12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
291
Abuso de
derechos
Amenaza
Ausencia de procedimientos
de identificación y valoración
de riesgos
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Vulnerabilidad
Moderado
Moderado
Bajo
Nivel del
Riesgo
Recursos
Compartidos
Responsabilidades y procedimientos
13.2.1
Antivirus
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Sistemas de información del negocio
10.8.5
Acuerdos para el intercambio 10.8.3
Procedimientos para el manejo de la
información 10.7.3
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de seguridad
de la información 13.1.1
Sistema de gestión de contraseñas
11.5.3
Uso de contraseñas 11.3.1
Revisión de los derechos de acceso de
los usuarios 11.2.4
Gestión de contraseñas para usuarios
11.2.3
Controles existentes
Recursos
Compartidos
Switching y
Routing
DNS, DHCP,
NTP
Servicios
Aprendizaje debido a los incidentes de
la seguridad de la información 13.2.2
Control de la vulnerabilidades técnicas
12.6.1
Fuga de información 12.5.4
Integridad del mensaje 12.2.3
Registro de auditorías 10.10.1
Políticas y procedimientos para el
intercambio de información 10.8.1
Educación, formación y concienciación
sobre la seguridad de la información
8.2.2
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
292
Falsificación de
derechos
Amenaza
Mal manejo de cuentas de
usuario para la
autenticación de usuarios en
el sistema LDAP (Active
Directory)
Mal manejo de contraseñas
(de servidores, consolas de
administración, sistema de
backups y estaciones de
trabajo)
Vulnerabilidad
Bajo
Bajo
Moderado
Nivel del
Riesgo
Sistema de gestión de contraseñas
11.5.3
Reporte sobre los eventos de
seguridad de la información 13.1.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Virtualización
RISC e Intel
DNS, DHCP,
NTP
Switching y
Routing
Recursos
Compartidos
Uso de contraseñas 11.3.1
SICOEIR
Política de control de acceso 11.1.1
Procedimientos para el manejo de la
información 10.7.3
Responsabilidades y procedimientos
13.2.1
Revisión de los derechos de acceso de
los usuarios 11.2.4
Gestión de contraseñas para usuarios
11.2.3
Seguridad de la documentación del
sistema 10.7.4
Procedimientos para el manejo de la
información 10.7.3
Controles existentes
Oracle
Antivirus
Recursos
Compartidos
Servicios
Control de la vulnerabilidades
técnicas 12.6.1
Registro de fallas 10.10.5
Control de la vulnerabilidades
técnicas 12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
293
Incumplimiento
en la
disponibilidad del
personal
Falsificación de
derechos
Amenaza
Ausencia en el Personal
Mal manejo de cuentas de
usuario para la
autenticación de usuarios en
el sistema LDAP (Active
Directory)
Vulnerabilidad
Moderado
Moderado
Nivel del
Riesgo
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
SICOEIR
Recursos
Compartidos
Switching y
Routing
DNS, DHCP,
NTP
Servicios
Responsabilidades y procedimientos
13.2.1
Control del software operativo 12.4.1
Responsabilidades y procedimientos
13.2.1
Reporte sobre las debilidades en la
seguridad 13.1.2
Reporte sobre los eventos de
seguridad de la información 13.1.1
Restricción del acceso a la
información 11.6.1
Sistema de gestión de contraseñas
11.5.3
Control de conexión a las redes
11.4.6
Controles existentes
Control de la vulnerabilidades
técnicas 12.6.1
Controles faltantes
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar
294
295
4.CAPÍTULO 4
DISEÑO DEL SISTEMA PARA LA GESTIÓN DE LOS
RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN
PARA LA DIRECCIÓN NACIONAL DE DESARROLLO
TECNOLÓGICO EN TELECOMUNICACIONES DE LA
SUPERTEL
4.1. INTRODUCCIÓN
Este capítulo recopilará la información detallada en los capítulos 2 y 3,
acerca de las vulnerabilidades presentes en los servicios de la DTT, el nivel de
riesgo presente en cada servicio, y los controles que se pueden aplicar para mitigar
estos riesgos, con lo cual se realiza el Diseño del Sistema de Gestión de Riesgos
en la Seguridad de la Información. Se presentan recomendaciones para la
aplicación de los controles faltantes y para los controles que son utilizados en la
DTT que pueden ser mejorados, con la finalidad de que la aplicación de los
controles sea la adecuada y de acuerdo a la realidad de la DTT. En la Figura 4.1 se
muestra el proceso de aplicación de los controles de la Norma 27002 [6] y las
recomendaciones planteadas.
Figura 4.1. Representación de la aplicación de controles a los servicios de la DTT
296
4.2. CONTROLES EXISTENTES EN LOS SERVICIOS DE LA DTT
SEGÚN LA NORMA NTE INEN-ISO/IEC 27002:2009
En la Tabla 4.1. Controles aplicados en la DTT se muestran los controles
aplicados en los sistemas y servicios de la DTT, de acuerdo a la Norma 27002 [6].
Tabla 4.1. Controles aplicados en la DTT
Control
Inventario de activos 7.1.1
Responsable de los activos 7.1.2
Directrices de clasificación 7.2.1
Funciones y responsabilidades
8.1.1
Selección 8.1.2
Términos y condiciones
laborales 8.1.3
Responsabilidades de la
dirección 8.2.1
Proceso disciplinario 8.2.3
Responsabilidades en la
terminación del contrato 8.3.1
Devolución de activos 8.3.2
Descripción
“Todos los activos deberían estar claramente identificados
y se debería elaborar y mantener un inventario de todos
los activos importantes”.
“Toda la información y los activos asociado con los
servicios de procesamiento de información deberían ser
asignada a una parte de la organización que actúa como
responsable”.
“La información se debería clasificar en términos de su
valor, de los requisitos legales, de la sensibilidad y la
importancia para la organización”.
“Se deberían definir y documentar los funciones y
responsabilidades de los empleados, contratistas y
usuarios de terceras partes por la seguridad, de acuerdo
con la política de la seguridad de la información de la
organización”.
“Se deberían realizar revisiones para la verificación de
antecedentes de los candidatos a ser empleados,
contratistas o usuarios de terceras partes, de acuerdo con
los reglamentos, la ética y las leyes pertinentes, y deben
ser proporcionales a los requisitos del negocio, la
clasificación de la información a la cual se va a tener
acceso y los riesgos percibidos”.
“Como parte de su obligación contractual, los empleados,
contratistas y usuarios de terceras partes deberían estar
de acuerdo y firmar los términos y condiciones de su
contrato laboral, el cual debe establecer sus
responsabilidades y las de la organización con relación a
la seguridad de la información”.
“La dirección debería exigir que los empleados,
contratistas y usuarios de terceras partes apliquen la
seguridad según las políticas y los procedimientos
establecidos por la organización”.
“Debería existir un proceso disciplinario formal para los
empleados que hayan cometido alguna violación de la
seguridad”.
“Se deberían definir y asignar claramente las
responsabilidades para llevar a cabo la terminación o el
cambio de la contratación laboral”.
“Todos los empleados, contratistas o usuarios de terceras
partes deberían devolver todos los activos pertenecientes
a la organización que estén en su poder al finalizar su
contratación laboral, contrato o acuerdo”.
297
Tabla 4.1. Controles aplicados en la DTT
Control
Retiro de los derechos de
acceso 8.3.3
Perímetro de la seguridad física
9.1.1
Controles de acceso físico 9.1.2
Seguridad de oficinas, recintos e
instalaciones 9.1.3
Trabajo en áreas seguras 9.1.5
Áreas de carga, despacho y
acceso público 9.1.6
Retiro de los activos de la
propiedad 9.2.7
Prestación del servicio 10.2.1
Mensajería electrónica 10.8.4
Transacciones en línea 10.9.2
Información disponible al público
10.9.3
Sincronización de relojes 10.10.6
Registro de usuarios 11.2.1
Gestión de privilegios 11.2.2
Procedimientos de registro de
inicio seguro 11.5.1
Identificación y autenticación de
usuarios 11.5.2
Descripción
“Los derechos de acceso de todos los empleados,
contratistas o usuarios de terceras partes a la información
y a los servicios de procesamiento de información se
deberían retirar al finalizar su contratación laboral, contrato
o acuerdo o se deberían ajustar después del cambio”.
“Se deberían utilizar perímetros de la seguridad (barreras
tales como paredes, puertas de acceso controladas con
tarjeta o mostradores de recepción atendidos) para
proteger las áreas que contienen información y servicios
de procesamiento de información”.
“Las áreas seguras deberían estar protegidas con
controles de acceso apropiados para asegurar que sólo se
permite el acceso a personal autorizado”.
“Se debería diseñar y aplicar la seguridad física para
oficinas, recintos e instalaciones”.
“Se deberían diseñar y aplicar la protección física y las
directrices para trabajar en áreas seguras”.
“Los puntos de acceso tales como las áreas de carga y
despacho y otros puntos por donde pueda ingresar
personal no autorizado a las instalaciones se deberían
controlar y, si es posible, aislar de los servicios de
procesamiento de información para evitar el acceso no
autorizado”.
“Ningún equipo, información ni software se deberían retirar
sin autorización previa”.
“Se deberían garantizar que los controles de la seguridad,
las definiciones del servicio y los niveles de prestación del
servicio incluidos en el acuerdo, sean implementados,
mantenidos y operados por el tercero”.
“La información contenida en la mensajería electrónica
debería tener la protección adecuada”.
“La información involucrada en las transacciones en línea
debería estar protegida para evitar transmisión
incompleta, enrutamiento inadecuado, alteración,
divulgación, duplicación o repetición no autorizada del
mensaje”.
“La integridad de la información que se pone a disposición
en un sistema de acceso público debería estar protegida
para evitar la modificación no autorizada”.
“Los relojes de todos los sistemas de procesamiento de
información pertinentes dentro de la organización o del
dominio de la seguridad deberían estar sincronizados con
una fuente de tiempo exacta y acordada”.
“Debería existir un procedimiento formal para el registro y
cancelación de usuarios con el fin de conceder y revocar el
acceso a todos los sistemas y servicios de información”.
“Se debería restringir y controlar la asignación y el uso de
privilegios”.
“El acceso a los sistemas operativos se debería controlar
mediante un procedimiento de registro de inicio seguro”.
“Todos los usuarios deberían tener un identificador único
(ID del usuario) para su uso personal, y se debería elegir
una técnica apropiada de autenticación para comprobar la
identidad declarada de un usuario”.
298
Tabla 4.1. Controles aplicados en la DTT
Control
Uso de las utilidades del sistema
11.5.4
Tiempo de inactividad de la
sesión 11.5.5
Limitación del tiempo de
conexión 11.5.6
Trabajo remoto 11.7.2
Validación de los datos de
entrada 12.2.1
Restricciones en los cambios a
los paquetes de software 12.5.3
Desarrollo de software
contratado externamente 12.5.5
Descripción
“Se debería restringir y controlar estrictamente el uso de
programas utilitarios que pueden anular los controles del
sistema y de la aplicación”.
“Las sesiones inactivas se deberían suspender después de
un periodo definido de inactividad”.
“Se deberían utilizar restricciones en los tiempos de
conexión para brindar seguridad adicional para las
aplicaciones de alto riesgo”.
“Se deberían desarrollar e implementar políticas, planes
operativos y procedimientos para las actividades de trabajo
remoto”.
“Se deberían validar los datos de entrada a las
aplicaciones para asegurar que dichos datos son correctos
y apropiados”.
“Se debería desalentar la realización de modificaciones a
los paquetes de software, limitarlas a los cambios
necesarios, y todos los cambios se deberían controlar
estrictamente”.
“La organización debería supervisar y monitorear el
desarrollo de software contratado externamente”.
4.3. RECOMENDACIONES PARA LOS CONTROLES A APLICAR
EN LA DTT SEGÚN LA NORMA NTE INEN-ISO/IEC
27002:2009
En capítulos anteriores se realizaron varias etapas de la Gestión de Riesgos
en la Seguridad de la Información, que van de acuerdo a la Norma NTE INENISO/IEC 27005:2012 [2], como son: Establecimiento del contexto y Valoración del
riesgo de la seguridad de la información.
Para la etapa de Tratamiento del riesgo de la seguridad de la información,
se han establecido los controles necesarios para mitigar los riesgos de acuerdo a
las vulnerabilidades, por lo que a continuación se presentan la Tabla 4.2.
Recomendaciones para los controles existentes en los servicios de la DTT y Tabla
4.3. Recomendaciones para los controles faltantes que detallan recomendaciones
adicionales para el mejoramiento de los controles existentes e implementación de
controles faltantes de acuerdo a la Norma NTE INEN-ISO/IEC 27002:2009 [6], con
lo cual se procederá a determinar la aceptación de cada riesgo de acuerdo a los
criterios de aceptación de riesgos establecidos en la sección 2.4.1.1.1 (Criterios de
aceptación del riesgo).
Moderado
Switching y
Routing
Bajo
No realizar la
renovación
oportuna de
equipos
TODOS LOS
SERVICIOS
Bajo
Mal
mantenimiento
del sistema de
Control de acceso
al Centro de
Cómputo
Telefonía IP
TODOS LOS
SERVICIOS
Alto
No se realiza un
mantenimiento
periódico del
Sistema Contra
incendios
Servicios
Nivel del
Riesgo
Vulnerabilidad
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Medios físicos en tránsito 10.8.3
“Los medios que contienen información se
deberían proteger contra el acceso no autorizado,
el uso inadecuado o la corrupción durante el
transporte más allá de los límites físicos de la
organización”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Servicios de suministro 9.2.2
"Los equipos deberían estar protegidos contra
fallas en el suministro de energía y otras
anomalías causadas por fallas en los servicios de
suministro”.
Controles existentes
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Definir un procedimiento para el transporte adecuado de medios
físicos fuera de la institución.
El embalaje de equipos debe ser suficiente para proteger su
contenido.
Registrar la fecha y hora de entrada y salida de visitantes al
Centro de Cómputo, las cuales deben ser supervisadas.
Exigir a empleados, contratistas y usuarios de terceras partes la
utilización de alguna forma de identificación visible.
Los derechos de acceso al Centro de Cómputo se deberían
revisar y actualizar con regularidad.
Realizar inspecciones regulares al Centro de Cómputo para
verificar sus condiciones ambientales.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías.
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías.
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas.
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
299
Alto
Alto
Falta de
capacitación del
personal sobre
cómo reaccionar
ante un evento
sísmico
Nivel del
Riesgo
Falta de
capacitación del
personal sobre
cómo reaccionar
ante una erupción
volcánica
No realizar la
renovación
oportuna de
equipos
Vulnerabilidad
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Protección contra amenazas externas y
ambientales 9.1.4
“Se deberían diseñar y aplicar protecciones
físicas contra daño por incendio, inundación,
terremoto, explosión, manifestaciones sociales
y otras formas de desastre natural o artificial”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la
seguridad de la información, considerando la sección
3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las
violaciones de seguridad y corrección del fallas de los
sistemas debe estar completamente detalladas y controladas
Hacer una planificación para mantenimiento del sistema
contra incendios, y de la misma manera hacer un plan de
capacitación del personal instruyendo al mismo sobre cómo
actuar ante desastres naturales.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Hacer una planificación para mantenimiento del sistema
contra incendios, y de la misma manera hacer un plan de
capacitación del personal instruyendo al mismo sobre cómo
actuar ante desastres naturales.
Protección contra amenazas externas y
ambientales 9.1.4
“Se deberían diseñar y aplicar protecciones
físicas contra daño por incendio, inundación,
terremoto, explosión, manifestaciones sociales
y otras formas de desastre natural o artificial”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la
seguridad de la información, considerando la sección
3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías.
Las acciones tomadas para la recuperación de las
violaciones de seguridad y corrección del fallas de los
sistemas debe estar completamente detalladas y
controladas.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías.
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas.
Recomendaciones
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
300
Nivel del
Riesgo
Moderado
Moderado
Moderado
Vulnerabilidad
No asegurar
correctamente la
ubicación de los
equipos
Filtración de agua
en la estructura
del edificio
Desestabilización
de la red de
energía eléctrica
en el sector del
edificio matriz
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
Servidores
RISC e Intel
Servicios
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Hacer una planificación para mantenimiento del sistema contra
incendios, y de la misma manera hacer un plan de capacitación
del personal instruyendo al mismo sobre cómo actuar ante
desastres naturales.
Protección contra amenazas externas y
ambientales 9.1.4
“Se deberían diseñar y aplicar protecciones físicas
contra daño por incendio, inundación, terremoto,
explosión, manifestaciones sociales y otras formas
de desastre natural o artificial”.
Hacer una planificación para mantenimiento del sistema contra
incendios, y de la misma manera hacer un plan de capacitación
del personal instruyendo al mismo sobre cómo actuar ante
desastres naturales.
Protección contra amenazas externas y
ambientales 9.1.4
“Se deberían diseñar y aplicar protecciones físicas
contra daño por incendio, inundación, terremoto,
explosión, manifestaciones sociales y otras formas
de desastre natural o artificial”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Inspeccionar regularmente la ubicación de los equipos, y dar
recomendación para una mejor ubicación en caso de requerirse.
Recomendaciones
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Ubicación y protección de los equipos 9.2.1
“Los equipos deberían estar ubicados o protegidos
para reducir el riesgo debido a amenazas o
peligros del entorno, y las oportunidades de
acceso no autorizado”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
301
Moderado
Bajo
No tener
correctas
instalaciones
eléctricas
Nivel del
Riesgo
Mal
mantenimiento de
los sistemas de
Aire
Acondicionado
Desestabilización
de la red de
energía eléctrica
en el sector del
edificio matriz
Vulnerabilidad
TODOS LOS
SERVICIOS
TODOS LOS
SERVICIOS
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Seguridad del cableado 9.2.3
“El cableado de energía eléctrica y de
telecomunicaciones que transporta datos o presta
soporte a los servicios de información deberían
estar protegidos contra interceptaciones o daños”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Servicios de suministro 9.2.2
"Los equipos deberían estar protegidos contra
fallas en el suministro de energía y otras
anomalías causadas por fallas en los servicios de
suministro”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Registrar la fecha y hora de entrada y salida de visitantes al
Centro de Cómputo, las cuales deben ser supervisadas
Exigir a empleados, contratistas y usuarios de terceras partes la
utilización de alguna forma de identificación visible
Los derechos de acceso al Centro de Cómputo se deberían
revisar y actualizar con regularidad
Realizar inspecciones regulares al Centro de Cómputo para
verificar sus condiciones ambientales
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Realizar un levantamiento del funcionamiento actual del sistema
de cableado de telecomunicaciones
Verificar el rotulado adecuado tanto de equipos como de cables
para minimizar errores en el manejo
Emplear un plano del cableado tanto eléctrico como de
telecomunicaciones para reducir la posibilidad de errores
Hacer reconocimientos técnicos e inspecciones físicas en busca
de dispositivos no autorizados conectados al cableado
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
302
Bajo
Moderado
Telefonía IP
DNS, DHCP,
NTP
Switching y
Routing
Conexión
deficiente de los
cables
TODOS LOS
SERVICIOS
Moderado
No revisar
periódicamente la
conexión entre el
sistema de UPS y
la red de energía
eléctrica en el
edificio.
Servicios
Nivel del
Riesgo
Vulnerabilidad
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Seguridad del cableado 9.2.3
“El cableado de energía eléctrica y de
telecomunicaciones que transporta datos o presta
soporte a los servicios de información deberían
estar protegidos contra interceptaciones o daños”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Servicios de suministro 9.2.2
"Los equipos deberían estar protegidos contra
fallas en el suministro de energía y otras
anomalías causadas por fallas en los servicios de
suministro”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Registrar la fecha y hora de entrada y salida de visitantes al
Centro de Cómputo, las cuales deben ser supervisadas
Exigir a empleados, contratistas y usuarios de terceras partes la
utilización de alguna forma de identificación visible
Los derechos de acceso al Centro de Cómputo se deberían
revisar y actualizar con regularidad
Realizar inspecciones regulares al Centro de Cómputo para
verificar sus condiciones ambientales
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Realizar un levantamiento del funcionamiento actual del sistema
de cableado de telecomunicaciones
Verificar el rotulado adecuado tanto de equipos como de cables
para minimizar errores en el manejo
Emplear un plano del cableado tanto eléctrico como de
telecomunicaciones para reducir la posibilidad de errores
Hacer reconocimientos técnicos e inspecciones físicas en busca
de dispositivos no autorizados conectados al cableado
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
303
Nivel del
Riesgo
Moderado
Bajo
Vulnerabilidad
No se tiene una
documentación
de los monitoreos
que se realizan a
los enlaces WAN
Administración
incorrecta de los
parámetros de
funcionamiento
de los equipos de
telecomunicaciones
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Oracle
Recursos
Compartidos
Switching y
Routing
Oracle
Servicios
Garantizar que los proveedores de servicio de red cumplen con
los niveles de servicio y requisitos de gestión
Ej.: Verificando que se cumplan los contratos establecidos
Seguridad de los servicios de red 10.6.2
“En cualquier acuerdo sobre los servicios de la red
se deberían identificar e incluir las características
de la seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de la
red, sin importar si los servicios se prestan en la
organización o se contratan externamente”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Establecer procedimientos formales para documentar y
gestionar los cambios en los sistemas y servicios
Gestión del cambio 10.1.2
“Se deberían controlar los cambios en los servicios
y los sistemas de procesamiento de información”.
Se debe hacer un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Monitorear y documentar el cumplimiento de las características
de seguridad dadas por el proveedor de servicio de red siendo
aplicable el derecho de auditorías
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
304
Mal
mantenimiento de
los Sistemas de
Alimentación
Ininterrumpida
(UPS)
Administración
incorrecta de los
parámetros de
funcionamiento
de los equipos de
telecomunicaciones
Vulnerabilidad
Moderado
Moderado
Bajo
Nivel del
Riesgo
TODOS LOS
SERVICIOS
Antivirus
Telefonía IP
Switching y
Routing
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Servicios de suministro 9.2.2
"Los equipos deberían estar protegidos contra
fallas en el suministro de energía y otras
anomalías causadas por fallas en los servicios de
suministro”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Registrar la fecha y hora de entrada y salida de visitantes al
Centro de Cómputo, las cuales deben ser supervisadas
Exigir a empleados, contratistas y usuarios de terceras partes la
utilización de alguna forma de identificación visible
Los derechos de acceso al Centro de Cómputo se deberían
revisar y actualizar con regularidad
Realizar inspecciones regulares al Centro de Cómputo para
verificar sus condiciones ambientales
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los
flujos de información no incumplan la política de
control de acceso de las aplicaciones del
negocio”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
305
Falta de
certificado de
seguridad para
las Páginas Web
Vulnerabilidad
Bajo
Nivel del
Riesgo
SICOEIR
Servicios
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Seguridad de los servicios de red 10.6.2
“En cualquier acuerdo sobre los servicios de la red
se deberían identificar e incluir las características
de la seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de la
red, sin importar si los servicios se prestan en la
organización o se contratan externamente”.
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los flujos
de información no incumplan la política de control
de acceso de las aplicaciones del negocio”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Controles contra códigos maliciosos 10.4.1
“Se deberían implementar controles de detección,
prevención y recuperación para proteger contra
códigos maliciosos, así como procedimientos
apropiados de concienciación de los usuarios”.
Controles existentes
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Monitorear y documentar el cumplimiento de las características
de seguridad dadas por el proveedor de servicio de red siendo
aplicable el derecho de auditorías
Justificar la instalación de software de fuentes no verificadas
Llevar registros detallados del software adquirido
institucionalmente y de las actualizaciones necesarias
Preparar planes adecuados para asegurar la continuidad de los
sistemas con el fin de recuperarse de ataques de códigos
maliciosos
Ej.: Reportes periódicos sobre el funcionamiento del software
instalado en los equipos de usuario final
Comprobar con regularidad que la suscripción a sitios web de
verificación y/o listados de correo suministren información sobre
los códigos maliciosos nuevos
Garantizar que los proveedores de servicio de red cumplen con
los niveles de servicio y requisitos de gestión
Ej.: Verificando que se cumplan los contratos establecidos
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
306
Administración
incorrecta de los
parámetros de
funcionamiento
de los firewalls
Falta de
certificado de
seguridad para
las Páginas Web
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
DNS, DHCP,
NTP
Recursos
Compartidos
Oracle
Virtualización
RISC e Intel
SICOEIR
Servicios
Responsabilidades y procedimientos 13.2.1
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Gestión del cambio 10.1.2
“Se deberían controlar los cambios en los servicios
y los sistemas de procesamiento de información”.
Seguridad de los servicios de red 10.6.2
“En cualquier acuerdo sobre los servicios de la red
se deberían identificar e incluir las características
de la seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de la
red, sin importar si los servicios se prestan en la
organización o se contratan externamente”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Monitorear y documentar el cumplimiento de las características
de seguridad dadas por el proveedor de servicio de red siendo
aplicable el derecho de auditorías
Garantizar que los proveedores de servicio de red cumplen con
los niveles de servicio y requisitos de gestión
Ej.: Verificando que se cumplan los contratos establecidos
Establecer procedimientos formales para documentar y
gestionar los cambios en los sistemas y servicios
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
307
No monitorear
adecuadamente
los accesos al
servidor SFTP de
forma externa
Administración
incorrecta de los
parámetros de
funcionamiento
de los firewalls
Vulnerabilidad
Bajo
Nivel del
Riesgo
SICOEIR
Servicios
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados
de las actividades de monitoreo se deberían
revisar con regularidad”.
Política de control de acceso 11.1.1
“Se debería establecer, documentar y revisar la
política de control de acceso con base en los
requisitos del negocio y de la seguridad para el
acceso”.
Control de conexión a las redes 11.4.6
“Para redes compartidas, especialmente
aquellas que se extienden más allá de las
fronteras de la organización, se debería
restringir la capacidad de los usuarios para
conectarse a la red, de acuerdo con la política
de control de acceso y los requisitos de
aplicación del negocio”.
Controles contra códigos maliciosos 10.4.1
“Se deberían implementar controles de
detección, prevención y recuperación para
proteger contra códigos maliciosos, así como
procedimientos apropiados de concienciación
de los usuarios”.
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Realizar periódicamente revisiones a los controles en la
conexión a las redes por parte del personal cargo de esta
función
Ej.: Revisar las reglas predefinidas en los firewalls
Aplicar las políticas de seguridad de TI para el control de acceso
Ej.: Elaborar un registro de usuarios
Justificar la instalación de software de fuentes no verificadas
Llevar registros detallados del software adquirido
institucionalmente y de las actualizaciones necesarias
Preparar planes adecuados para asegurar la continuidad de los
sistemas con el fin de recuperarse de ataques de códigos
maliciosos
Ej.: Reportes periódicos sobre el funcionamiento del software
instalado en los equipos de usuario final
Comprobar con regularidad que la suscripción a sitios web de
verificación y/o listados de correo suministren información sobre
los códigos maliciosos nuevos
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas.
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
308
Mal manejo de
contraseñas (de
servidores,
consolas de
administración,
sistema de
backups y
estaciones de
trabajo)
No monitorear
adecuadamente
los accesos al
servidor SFTP de
forma externa
Vulnerabilidad
Moderado
Nivel del
Riesgo
SICOEIR
Antivirus
Recursos
Compartidos
Servicios
Procedimientos para el manejo de la información
10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con el
fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Restricción del acceso a la información 11.6.1
“Se debería restringir el acceso a la información y
a las funciones del sistema de aplicación por parte
de los usuarios y del personal de soporte, de
acuerdo con la política definida de control de
acceso”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Documentar los derechos de acceso otorgados a los diferentes
tipos de usuarios especificando la información a la que tendrá
acceso
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
309
Mal manejo de
contraseñas (de
servidores,
consolas de
administración,
sistema de
backups y
estaciones de
trabajo)
Vulnerabilidad
Bajo
Nivel del
Riesgo
Switching y
Routing
DNS, DHCP,
NTP
Oracle
Virtualización
RISC e Intel
Servicios
Responsabilidades y procedimientos 13.2.1
Sistema de gestión de contraseñas 11.5.3
“Los sistemas para la gestión de contraseñas
deberían ser interactivos y deberían asegurar la
calidad de las contraseñas”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Uso de contraseñas 11.3.1
“Se debería exigir a los usuarios el cumplimiento
de buenas prácticas de la seguridad en la
selección y el uso de las contraseñas”.
Realizar un procedimiento formal de renovación de contraseñas
para evitar que usuarios no autorizados accedan a la
información al conocer alguna contraseña de acceso.
Seguridad de la documentación del sistema 10.7.4
“La documentación del sistema debería estar
protegida contra el acceso no autorizado”.
Gestión de contraseñas para usuarios 11.2.3
“La asignación de contraseñas se debería
controlar a través de un proceso formal de
gestión”.
Revisión de los derechos de acceso de los
usuarios 11.2.4
“La dirección debería establecer un procedimiento
formal de revisión periódica de los derechos de
acceso de los usuarios”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Planificar mantenimiento periódico del software Active Directory
para verificar la eliminación de registro de usuarios no
existentes
Exigir a los usuarios que eviten mantener registros de las
contraseñas
Seleccionar contraseñas con longitud mínima suficiente
Ej.: Longitud mínima de ocho caracteres, entre mayúsculas
símbolos y números
No compartir las contraseñas de usuario individuales
Los cambios en las cuentas privilegiadas se debería registrar
para su revisión periódica
Los derechos de acceso de los usuarios se debería revisar a
intervalos regulares
Capacitar a los funcionarios sobre la correcta gestión de
contraseñas, tanto para equipos como para el acceso a un
software
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
310
No se tiene una
planificación de
monitoreos
periódicos a los
enlaces WAN
Mal manejo de
contraseñas (de
servidores,
consolas de
administración,
sistema de
backups y
estaciones de
trabajo)
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Recursos
Compartidos
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
SICOEIR
Oracle
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Seguridad de los servicios de red 10.6.2
“En cualquier acuerdo sobre los servicios de la red
se deberían identificar e incluir las características
de la seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de la
red, sin importar si los servicios se prestan en la
organización o se contratan externamente”.
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados de
las actividades de monitoreo se deberían revisar
con regularidad”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Monitorear y documentar el cumplimiento de las características
de seguridad dadas por el proveedor de servicio de red siendo
aplicable el derecho de auditorías
Garantizar que los proveedores de servicio de red cumplen con
los niveles de servicio y requisitos de gestión
Ej.: Verificando que se cumplan los contratos establecidos
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
311
Moderado
Alto
No encriptar la
información
Asignación errada
de derechos de
acceso al servidor
SFTP
Nivel del
Riesgo
Vulnerabilidad
SICOEIR
SICOEIR
Servicios
Política de control de acceso 11.1.1
“Se debería establecer, documentar y revisar la
política de control de acceso con base en los
requisitos del negocio y de la seguridad para el
acceso”.
Control de conexión a las redes 11.4.6
“Para redes compartidas, especialmente
aquellas que se extienden más allá de las
fronteras de la organización, se debería
restringir la capacidad de los usuarios para
conectarse a la red, de acuerdo con la política
de control de acceso y los requisitos de
aplicación del negocio”.
Procedimientos para el manejo de la
información 10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con
el fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Controles existentes
Realizar periódicamente revisiones a los controles en la
conexión a las redes por parte del personal cargo de esta
función
Ej.: Revisar las reglas predefinidas en los firewalls
Aplicar las políticas de seguridad de TI para el control de acceso
Ej.: Elaborar un registro de usuarios
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
312
Mal manejo de la
compartición de la
información
Asignación errada
de derechos de
acceso al servidor
SFTP
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Definir un procedimiento de etiquetado de la información
incluyendo procedimientos para cadena de custodia y registro
de eventos importantes de la seguridad
Ej.: Etiquetar información contenida en discos duros externos,
cintas, etc.
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Etiquetado y manejo de la información 7.2.2
“Se debería desarrollar e implementar un
conjunto de procedimientos adecuados para el
etiquetado y el manejo de la información de
acuerdo al esquema de clasificación adoptado
por la organización”.
Procedimientos para el manejo de la
información 10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con
el fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Recursos
Compartidos
Virtualización
RISC e Intel
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Documentar los derechos de acceso otorgados a los diferentes
tipos de usuarios especificando la información a la que tendrá
acceso
Recomendaciones
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Restricción del acceso a la información 11.6.1
“Se debería restringir el acceso a la información
y a las funciones del sistema de aplicación por
parte de los usuarios y del personal de soporte,
de acuerdo con la política definida de control de
acceso”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Servicios
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
313
Mal manejo de la
compartición de la
información
Vulnerabilidad
Nivel del
Riesgo
Servicios
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Análisis y especificación de los requisitos de la
seguridad 12.1.1
“Las declaraciones sobre los requisitos del negocio
para nuevos sistemas de información o mejoras a
los sistemas existentes deberían especificar los
requisitos para los controles de la seguridad”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Sistemas de información del negocio 10.8.5
“Se deberían establecer, desarrollar e implementar
políticas y procedimientos para proteger la
información asociada con la interconexión de los
sistemas de información del negocio”.
Controles existentes
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Establecer una política para gestionar la forma en que se
comparte la información
Ej.: Definir carpetas compartidas verificando usuarios que
tengan acceso a las mismas
Establecer restricciones de acceso a los servicios de acuerdo a
diferentes categorías de personal previamente definidas
Ej.: Verificar los funcionarios que tienen acceso a cada servicio
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Implementar procesos de análisis y especificación de requisitos
de seguridad durante el desarrollo de proyectos, que permitan
identificar controles necesarios para un correcto manejo de la
seguridad de la información
Ej.: Especificar los requisitos de seguridad, como puede ser
definir nombres de usuarios y contraseñas para utilizar el
sistema
Para los proyectos de adquisición de software, se debe hacer el
análisis previo de los requisitos de seguridad, antes del proceso
formal de compra
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
314
Administración
inadecuada de los
equipos del área
de trabajo
disponibles para
su uso
Mal manejo de la
compartición de la
información
Vulnerabilidad
Moderado
Alto
Nivel del
Riesgo
DNS, DHCP,
NTP
Telefonía IP
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Medios físicos en tránsito 10.8.3
“Los medios que contienen información se
deberían proteger contra el acceso no autorizado,
el uso inadecuado o la corrupción durante el
transporte más allá de los límites físicos de la
organización”.
Identificación de los equipos en las redes 11.4.3
“La identificación automática de los equipos se
debería considerar un medio para autenticar
conexiones de equipos y ubicaciones específicas”.
Computación y comunicaciones móviles 11.7.1
“Se debería establecer una política formal y se
deberían adoptar las medidas de la seguridad
apropiadas para la protección contra los riesgos
debidos al uso de dispositivos de computación y
comunicaciones móviles”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Establecer un procedimiento para respaldar información
contenida en laptops institucionales
Establecer una política para el manejo de dispositivos de
computación y comunicaciones móviles.
Elaborar y mantener adecuadamente un registro de los nombres
asignados a los equipos en la institución
Definir un procedimiento para el transporte adecuado de medios
físicos fuera de la institución
El embalaje de equipos debe ser suficiente para proteger su
contenido
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
315
Falta de control
de acceso a las
carpetas
compartidas
Vulnerabilidad
Bajo
Nivel del
Riesgo
Virtualización
RISC e Intel
Recursos
Compartidos
Servicios
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados
de las actividades de monitoreo se deberían
revisar con regularidad”.
Política de control de acceso 11.1.1
“Se debería establecer, documentar y revisar la
política de control de acceso con base en los
requisitos del negocio y de la seguridad para el
acceso”.
Control de conexión a las redes 11.4.6
“Para redes compartidas, especialmente
aquellas que se extienden más allá de las
fronteras de la organización, se debería
restringir la capacidad de los usuarios para
conectarse a la red, de acuerdo con la política
de control de acceso y los requisitos de
aplicación del negocio”.
Sistemas de información del negocio 10.8.5
“Se deberían establecer, desarrollar e
implementar políticas y procedimientos para
proteger la información asociada con la
interconexión de los sistemas de información
del negocio”.
Procedimientos para el manejo de la
información 10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con
el fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Controles existentes
Realizar periódicamente revisiones a los controles en la
conexión a las redes por parte del personal cargo de esta
función
Ej.: Revisar las reglas predefinidas en los firewalls
Aplicar las políticas de seguridad de TI para el control de acceso
Ej.: Elaborar un registro de usuarios
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Establecer una política para gestionar la forma en que se
comparte la información
Ej.: Definir carpetas compartidas verificando usuarios que
tengan acceso a las mismas
Establecer restricciones de acceso a los servicios de acuerdo a
diferentes categorías de personal previamente definidas
Ej.: Verificar los funcionarios que tienen acceso a cada servicio
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
316
No deshabilitar
puertos no
utilizados en
equipos de
conectividad
Falta de control
de acceso a las
carpetas
compartidas
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
DNS, DHCP,
NTP
Telefonía IP
Switching y
Routing
Servicios
Reporte sobre las debilidades en la seguridad
13.1.2
Protección de los puertos de configuración y
diagnóstico remoto 11.4.4
“El acceso lógico y físico a los puertos de
configuración y de diagnóstico debería estar
controlado”.
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los flujos
de información no incumplan la política de control
de acceso de las aplicaciones del negocio”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Restricción del acceso a la información 11.6.1
“Se debería restringir el acceso a la información y
a las funciones del sistema de aplicación por parte
de los usuarios y del personal de soporte, de
acuerdo con la política definida de control de
acceso”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Establecer un procedimiento para uso de puertos de
configuración y diagnóstico remoto
Ej.: Verificar que no se tengan conectados cables a estos
puertos
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Documentar los derechos de acceso otorgados a los diferentes
tipos de usuarios especificando la información a la que tendrá
acceso
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
317
Mala
administración de
los registros de
direcciones MAC
de los equipos
para acceso a la
red inalámbrica y
telefonía IP
No deshabilitar
puertos no
utilizados en
equipos de
conectividad
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
DNS, DHCP,
NTP
Telefonía IP
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Separación en las redes 11.4.5
“En las redes se deberían separar los grupos de
servicios de información, usuarios y sistemas de
información”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Revisar periódicamente la planificación de direccionamiento
tanto para la LAN como para las redes inalámbricas, para que
se adapte a los requerimientos de acuerdo al número de
usuarios.
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
318
Moderado
Moderado
No se hace una
verificación
periódica de la
seguridad de los
switches de
acceso en cada
piso
No tener soporte
por parte del
proveedor del
software
Nivel del
Riesgo
Vulnerabilidad
Antivirus
Virtualización
RISC e Intel
Switching y
Routing
Servicios
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los
sistemas operativos”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en
configuraciones y controles de seguridad del sistema
Los funcionarios deben tomar nota de los mensajes
importantes al presentarse un evento de seguridad de
información (mensajes en la pantalla, comportamiento
extraño).
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados
de las actividades de monitoreo se deberían
revisar con regularidad”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la
seguridad de la información, considerando la sección
3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las
violaciones de seguridad y corrección del fallas de los
sistemas debe estar completamente detalladas y controladas
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después
de las pruebas respectivas que consideren la capacidad de
uso, seguridad efectos en otros sistemas y se debe
garantizar que las bibliotecas fuente del programa estén
actualizadas
Se debe implantar una política de estrategia de restauración
al estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las
actualizaciones de las bibliotecas de los programas
operativos
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
319
Asignación errada
de derechos de
acceso
No tener soporte
por parte del
proveedor del
software
Vulnerabilidad
Bajo
Nivel del
Riesgo
Antivirus
Recursos
Compartidos
Servicios
Distribución de funciones 10.1.3
“Las funciones y las áreas de responsabilidad
se deberían distribuir para reducir las
oportunidades de modificación no autorizada o
no intencional, o el uso inadecuado de los
activos de la organización”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Revisión técnica de las aplicaciones después de
los cambios en el sistema operativo 12.5.2
(para sistemas antiguos)
“Cuando se cambian los sistemas operativos,
las aplicaciones críticas para el negocio se
deberían revisar y someter a prueba para
asegurar que no hay impacto adverso en las
operaciones ni en la seguridad de la
organización”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea
posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Hacer una revisión de los derechos de acceso a los diferentes
sistemas para los funcionarios que deban ser administradores
de los mismos
Establecer un procedimiento que defina qué funcionarios deben
tener permisos de administrador de los diferentes sistemas y
servicios
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Garantizar la notificación oportuna a los funcionarios respectivos
sobre los cambios en el sistema en funcionamiento para permitir
la realización de pruebas y revisiones apropiadas antes de la
implementación
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
320
Asignación errada
de derechos de
acceso
Vulnerabilidad
Nivel del
Riesgo
Servicios
Política de control de acceso 11.1.1
“Se debería establecer, documentar y revisar la
política de control de acceso con base en los
requisitos del negocio y de la seguridad para el
acceso”.
Autenticación de usuarios para conexiones
externas 11.4.2
“Se deberían emplear métodos apropiados de
autenticación para controlar el acceso de
usuarios remotos”.
Control de conexión a las redes 11.4.6
“Para redes compartidas, especialmente
aquellas que se extienden más allá de las
fronteras de la organización, se debería
restringir la capacidad de los usuarios para
conectarse a la red, de acuerdo con la política
de control de acceso y los requisitos de
aplicación del negocio”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Procedimientos para el manejo de la
información 10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con
el fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Controles existentes
Realizar periódicamente revisiones a los controles en la
conexión a las redes por parte del personal cargo de esta
función
Ej.: Revisar las reglas predefinidas en los firewalls
Verificar y llevar un registro de los usuarios que tienen
autorización para conexiones externas a la red de la institución
mediante VPN
Aplicar las políticas de seguridad de TI para el control de acceso
Ej.: Elaborar un registro de usuarios
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
321
Tener
administradores
de segundo nivel
que puedan hacer
cambios no
autorizados
Asignación errada
de derechos de
acceso
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
SICOEIR
Recursos
Compartidos
Servicios
Protección del registro de la información 10.10.3
Procedimientos para el manejo de la información
10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con el
fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Distribución de funciones 10.1.3
“Las funciones y las áreas de responsabilidad se
deberían distribuir para reducir las oportunidades
de modificación no autorizada o no intencional, o
el uso inadecuado de los activos de la
organización”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los flujos
de información no incumplan la política de control
de acceso de las aplicaciones del negocio”.
Restricción del acceso a la información 11.6.1
“Se debería restringir el acceso a la información y
a las funciones del sistema de aplicación por parte
de los usuarios y del personal de soporte, de
acuerdo con la política definida de control de
acceso”.
Controles existentes
Establecer un procedimiento que defina qué funcionarios deben
tener permisos de administrador de los diferentes sistemas y
servicios
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Hacer una revisión de los derechos de acceso a los diferentes
sistemas para los funcionarios que deban ser administradores
de los mismos
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Documentar los derechos de acceso otorgados a los diferentes
tipos de usuarios especificando la información a la que tendrá
acceso
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
322
Tener
administradores
de segundo nivel
que puedan hacer
cambios no
autorizados
Vulnerabilidad
Nivel del
Riesgo
Servicios
Responsabilidades y procedimientos 13.2.1
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Documentar los derechos de acceso otorgados a los diferentes
tipos de usuarios especificando la información a la que tendrá
acceso
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Realizar periódicamente revisiones a los controles en la
conexión a las redes por parte del personal cargo de esta
función
Ej.: Revisar las reglas predefinidas en los firewalls
Aplicar las políticas de seguridad de TI para el control de acceso
Ej.: Elaborar un registro de usuarios
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Política de control de acceso 11.1.1
“Se debería establecer, documentar y revisar la
política de control de acceso con base en los
requisitos del negocio y de la seguridad para el
acceso”.
Control de conexión a las redes 11.4.6
“Para redes compartidas, especialmente aquellas
que se extienden más allá de las fronteras de la
organización, se debería restringir la capacidad de
los usuarios para conectarse a la red, de acuerdo
con la política de control de acceso y los requisitos
de aplicación del negocio”.
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los flujos
de información no incumplan la política de control
de acceso de las aplicaciones del negocio”.
Restricción del acceso a la información 11.6.1
“Se debería restringir el acceso a la información y
a las funciones del sistema de aplicación por parte
de los usuarios y del personal de soporte, de
acuerdo con la política definida de control de
acceso”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
323
Administración
inadecuada de las
cuentas de
usuario en Active
Directory
Tener
administradores
de segundo nivel
que puedan hacer
cambios no
autorizados
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Recursos
Compartidos
Telefonía IP
DNS, DHCP,
NTP
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Gestión del cambio 10.1.2
“Se deberían controlar los cambios en los
servicios y los sistemas de procesamiento de
información”.
Sistema de gestión de contraseñas 11.5.3
“Los sistemas para la gestión de contraseñas
deberían ser interactivos y deberían asegurar la
calidad de las contraseñas”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea
posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Planificar mantenimiento periódico del software Active Directory
para verificar la eliminación de registro de usuarios no
existentes
Establecer procedimientos formales para documentar y
gestionar los cambios en los sistemas y servicios
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
324
Nivel del
Riesgo
Bajo
Moderado
Vulnerabilidad
No verificar la
actualización de
la información
entregada (tanto
en carpetas
compartidas
como la colocada
en la web)
No realizar un
monitoreo
periódico de la
disponibilidad de
los servicios y
sistemas de la
DTT
Antivirus
Recursos
Compartidos
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Servicios
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados de
las actividades de monitoreo se deberían revisar
con regularidad”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados de
las actividades de monitoreo se deberían revisar
con regularidad”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
325
No realizar la
renovación
oportuna del
dominio de la
página web
No realizar un
monitoreo
periódico de la
disponibilidad de
los servicios y
sistemas de la
DTT
Vulnerabilidad
Alto
Bajo
Moderado
Nivel del
Riesgo
SICOEIR
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Controles contra códigos maliciosos 10.4.1
“Se deberían implementar controles de detección,
prevención y recuperación para proteger contra
códigos maliciosos, así como procedimientos
apropiados de concienciación de los usuarios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Telefonía IP
SICOEIR
Llevar registros detallados del software adquirido
institucionalmente y de las actualizaciones necesarias
Preparar planes adecuados para asegurar la continuidad de los
sistemas con el fin de recuperarse de ataques de códigos
maliciosos
Ej.: Reportes periódicos sobre el funcionamiento del software
instalado en los equipos de usuario final
Comprobar con regularidad que la suscripción a sitios web de
verificación y/o listados de correo suministren información sobre
los códigos maliciosos nuevos
Justificar la instalación de software de fuentes no verificadas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Garantizar la notificación oportuna a los funcionarios respectivos
sobre los cambios en el sistema en funcionamiento para permitir
la realización de pruebas y revisiones apropiadas antes de la
implementación
Revisión técnica de las aplicaciones después de
los cambios en el sistema operativo 12.5.2
“Cuando se cambian los sistemas operativos, las
aplicaciones críticas para el negocio se deberían
revisar y someter a prueba para asegurar que no
hay impacto adverso en las operaciones ni en la
seguridad de la organización”.
Switching y
Routing
Oracle
Recomendaciones
Controles existentes
Servicios
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
326
Falta de
planificación
sobre la
capacidad de
procesamiento de
la información
No realizar la
renovación
oportuna del
dominio de la
página web
Vulnerabilidad
Moderado
Nivel del
Riesgo
Virtualización
RISC e Intel
SICOEIR
Servicios
Análisis y especificación de los requisitos de la
seguridad 12.1.1 (Fase inicial del proyecto)
“Las declaraciones sobre los requisitos del negocio
para nuevos sistemas de información o mejoras a
los sistemas existentes deberían especificar los
requisitos para los controles de la seguridad”.
Gestión de la capacidad 10.3.1
“Se debería hacer seguimiento y adaptación del
uso de los recursos, así como proyecciones de los
requisitos de la capacidad futura para asegurar el
desempeño requerido del sistema”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Gestionar la capacidad de almacenamiento y procesamiento de
la información disponible actualmente
Ej.: Elaborar un informe de la capacidad de almacenamiento
utilizada
Hacer un análisis sobre las necesidades futuras de capacidad
de almacenamiento y procesamiento
Implementar procesos de análisis y especificación de requisitos
de seguridad durante el desarrollo de proyectos, que permitan
identificar controles necesarios para un correcto manejo de la
seguridad de la información
Ej.: Especificar los requisitos de seguridad, como puede ser
definir nombres de usuarios y contraseñas para utilizar el
sistema
Para los proyectos de adquisición de software, se debe hacer el
análisis previo de los requisitos de seguridad, antes del proceso
formal de compra
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
327
Falta de
mantenimiento de
las bases de
datos
Falta de
planificación
sobre la
capacidad de
procesamiento de
la información
Vulnerabilidad
SICOEIR
Oracle
Moderado
Recursos
Compartidos
SICOEIR
Oracle
Servicios
Alto
Bajo
Nivel del
Riesgo
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados de
las actividades de monitoreo se deberían revisar
con regularidad”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
328
Falla de los
archivos de
respaldo
Falta de
mantenimiento de
las bases de
datos
Vulnerabilidad
Bajo
Bajo
Nivel del
Riesgo
Virtualización
RISC e Intel
Virtualización
RISC e Intel
Servicios
Responsabilidades y procedimientos 13.2.1
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la política
de respaldo acordada”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Hacer registros exactos y completos de las copias de respaldo y
generar procedimientos documentados de restauración
Ej.: Tener discos externos con las copias de las configuraciones
de los equipos principales del Centro de Cómputo
Planificar el almacenamiento de los archivos de respaldo en una
ubicación diferente al Centro de Cómputo principal,
considerando los mismos controles de seguridad que para el
Centro de Cómputo principal para la protección física y
ambiental
Verificar con regularidad los procedimientos de restauración
mediante los archivos de respaldo para garantizar su eficacia
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
329
No respaldar la
información
generada de
forma periódica
Falla de los
archivos de
respaldo
Vulnerabilidad
Bajo
Nivel del
Riesgo
Virtualización
RISC e Intel
Servicios
Hacer registros exactos y completos de las copias de respaldo y
generar procedimientos documentados de restauración
Ej.: Tener discos externos con las copias de las configuraciones
de los equipos principales del Centro de Cómputo
Planificar el almacenamiento de los archivos de respaldo en una
ubicación diferente al Centro de Cómputo principal,
considerando los mismos controles de seguridad que para el
Centro de Cómputo principal para la protección física y
ambiental
Verificar con regularidad los procedimientos de restauración
mediante los archivos de respaldo para garantizar su eficacia
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la política
de respaldo acordada”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Establecer un procedimiento para respaldar información
contenida en laptops institucionales
Establecer una política para el manejo de dispositivos de
computación y comunicaciones móviles.
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Computación y comunicaciones móviles 11.7.1
“Se debería establecer una política formal y se
deberían adoptar las medidas de la seguridad
apropiadas para la protección contra los riesgos
debidos al uso de dispositivos de computación y
comunicaciones móviles”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
330
Nivel del
Riesgo
Alto
Moderado
Muy Alto
Vulnerabilidad
No respaldar la
información de
configuración de
los servidores y
equipos de
conectividad
No respaldar la
información de
configuración de
los servidores y
equipos de
conectividad
Tener archivos de
respaldos en los
mismos equipos
del Centro de
Cómputo principal
Servidores
RISC e Intel
Recursos
Compartidos
Oracle
Switching y
Routing
Virtualización
RISC e Intel
DNS, DHCP,
NTP
Servicios
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la política
de respaldo acordada”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la política
de respaldo acordada”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Hacer registros exactos y completos de las copias de respaldo y
generar procedimientos documentados de restauración
Ej.: Tener discos externos con las copias de las configuraciones
de los equipos principales del Centro de Cómputo
Planificar el almacenamiento de los archivos de respaldo en una
ubicación diferente al Centro de Cómputo principal,
considerando los mismos controles de seguridad que para el
Centro de Cómputo principal para la protección física y
ambiental
Verificar con regularidad los procedimientos de restauración
mediante los archivos de respaldo para garantizar su eficacia
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Hacer registros exactos y completos de las copias de respaldo y
generar procedimientos documentados de restauración
Ej.: Tener discos externos con las copias de las configuraciones
de los equipos principales del Centro de Cómputo
Planificar el almacenamiento de los archivos de respaldo en una
ubicación diferente al Centro de Cómputo principal,
considerando los mismos controles de seguridad que para el
Centro de Cómputo principal para la protección física y
ambiental
Verificar con regularidad los procedimientos de restauración
mediante los archivos de respaldo para garantizar su eficacia
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
331
Bajo
Muy Alto
Tener archivos de
respaldos en los
mismos equipos
del Centro de
Cómputo principal
No tener
respaldado el
código fuente del
desarrollo de
software dentro
de la DTT
Nivel del
Riesgo
Vulnerabilidad
SICOEIR
Virtualización
RISC e Intel
SICOEIR
Servicios
Protección del registro de la información 10.10.3
Planificar el almacenamiento de los archivos de respaldo en una
ubicación diferente al Centro de Cómputo principal,
considerando los mismos controles de seguridad que para el
Centro de Cómputo principal para la protección física y
ambiental
Verificar con regularidad los procedimientos de restauración
mediante los archivos de respaldo para garantizar su eficacia
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Hacer registros exactos y completos de las copias de respaldo y
generar procedimientos documentados de restauración
Ej.: Tener discos externos con las copias de las configuraciones
de los equipos principales del Centro de Cómputo
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la
política de respaldo acordada”.
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la
política de respaldo acordada”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Recomendaciones
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
332
No tener
respaldado el
código fuente del
desarrollo de
software dentro
de la DTT
Vulnerabilidad
Nivel del
Riesgo
Servicios
Responsabilidades y procedimientos 13.2.1
Reporte sobre las debilidades en la seguridad
13.1.2 (Servicios antiguos)
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Procedimientos de control de cambios 12.5.1
“Se debería controlar la implementación de
cambios utilizando procedimientos formales de
control de cambios”.
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los sistemas
operativos”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Controles existentes
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después de
las pruebas respectivas que consideren la capacidad de uso,
seguridad efectos en otros sistemas y se debe garantizar que
las bibliotecas fuente del programa estén actualizadas
Se debe implantar una política de estrategia de restauración al
estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las actualizaciones
de las bibliotecas de los programas operativos
Identificación de todo el software, la información, las bases de
datos y hardware que requieran mejora
Garantizar que la documentación del sistema está actualizada al
finalizar cada cambio y que la documentación antigua se archiva
o elimina
Ej.: Llevar un registro detallado de las actualizaciones
Mantener un registro para auditoría de todos los cambios
solicitados
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
333
No se dimensione
correctamente el
espacio necesario
para respaldar la
información
No tener
respaldado el
código fuente del
desarrollo de
software dentro
de la DTT
Vulnerabilidad
Moderado
Nivel del
Riesgo
Virtualización
RISC e Intel
Servicios
Análisis y especificación de los requisitos de
seguridad 12.1.1
“Las declaraciones sobre los requisitos del
negocio para nuevos sistemas de información o
mejoras a los sistemas existentes deberían
especificar los requisitos para los controles de
la seguridad”.
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados
de las actividades de monitoreo se deberían
revisar con regularidad”.
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la
política de respaldo acordada”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Respaldo de la información 10.5.1
“Se deberían hacer copias de respaldo de la
información y del software, y se deben poner a
prueba con regularidad de acuerdo con la
política de respaldo acordada”.
Controles existentes
Planificar el almacenamiento de los archivos de respaldo en una
ubicación diferente al Centro de Cómputo principal,
considerando los mismos controles de seguridad que para el
Centro de Cómputo principal para la protección física y
ambiental
Verificar con regularidad los procedimientos de restauración
mediante los archivos de respaldo para garantizar su eficacia
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Implementar procesos de análisis y especificación de requisitos
de seguridad durante el desarrollo de proyectos, que permitan
identificar controles necesarios para un correcto manejo de la
seguridad de la información
Ej.: Especificar los requisitos de seguridad, como puede ser
definir nombres de usuarios y contraseñas para utilizar el
sistema
Para los proyectos de adquisición de software, se debe hacer el
análisis previo de los requisitos de seguridad, antes del proceso
formal de compra
Hacer registros exactos y completos de las copias de respaldo y
generar procedimientos documentados de restauración
Ej.: Tener discos externos con las copias de las configuraciones
de los equipos principales del Centro de Cómputo
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
334
No se realiza un
monitoreo
periódico de los
enlaces de la red
institucional (LAN)
Bajo
No se dimensione
correctamente el
espacio necesario
para respaldar la
información
Bajo
Moderado
Nivel del
Riesgo
Vulnerabilidad
DNS, DHCP,
NTP
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
Oracle
Servicios
Reporte sobre las debilidades en la seguridad
13.1.2
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados de
las actividades de monitoreo se deberían revisar
con regularidad”.
Seguridad de los servicios de red 10.6.2
“En cualquier acuerdo sobre los servicios de la red
se deberían identificar e incluir las características
de la seguridad, los niveles de servicio y los
requisitos de gestión de todos los servicios de la
red, sin importar si los servicios se prestan en la
organización o se contratan externamente”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Monitorear y documentar el cumplimiento de las características
de seguridad dadas por el proveedor de servicio de red siendo
aplicable el derecho de auditorías
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Garantizar que los proveedores de servicio de red cumplen con
los niveles de servicio y requisitos de gestión
Ej.: Verificando que se cumplan los contratos establecidos
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
335
No realizar
mantenimiento
preventivo de los
equipos del área
de trabajo
No se realiza un
monitoreo
periódico de los
enlaces de la red
institucional (LAN)
Vulnerabilidad
Moderado
Nivel del
Riesgo
Telefonía IP
Antivirus
Servicios
Reporte sobre las debilidades en la seguridad
13.1.2
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Mantenimiento de los equipos 9.2.4
“Los equipos deberían recibir mantenimiento
adecuado para asegurar su continua disponibilidad
e integridad”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Conservar registro de todas las fallas reales o sospechadas y de
todo el mantenimiento preventivo y correctivo
Ej.: Designar un funcionario que registre las actividades de
mantenimiento realizadas en los diferentes equipos.
Verificar que el mantenimiento del sistema de acceso biométrico
se realice periódicamente
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
336
No realizar
mantenimiento
técnico de
equipos en el
Centro de
Cómputo
No realizar
mantenimiento
preventivo de los
equipos del área
de trabajo
Vulnerabilidad
Bajo
Bajo
Nivel del
Riesgo
Switching y
Routing
Servidores
RISC e Intel
Oracle
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Mantenimiento de los equipos 9.2.4
“Los equipos deberían recibir mantenimiento
adecuado para asegurar su continua disponibilidad
e integridad”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Conservar registro de todas las fallas reales o sospechadas y de
todo el mantenimiento preventivo y correctivo
Ej.: Designar un funcionario que registre las actividades de
mantenimiento realizadas en los diferentes equipos.
Verificar que el mantenimiento del sistema de acceso biométrico
se realice periódicamente
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
337
No se ha
planificado una
renovación
oportuna de
licencias
(Antivirus,
Windows, etc.)
Falta de
planificación de la
capacidad de
almacenamiento
en los servidores
Vulnerabilidad
Moderado
Bajo
SICOEIR
Moderado
Antivirus
DNS, DHCP,
NTP
Oracle
Virtualización
RISC e Intel
Servicios
Nivel del
Riesgo
Análisis y especificación de los requisitos de
seguridad 12.1.1
“Las declaraciones sobre los requisitos del negocio
para nuevos sistemas de información o mejoras a
los sistemas existentes deberían especificar los
requisitos para los controles de la seguridad”.
Controles contra códigos maliciosos 10.4.1
“Se deberían implementar controles de detección,
prevención y recuperación para proteger contra
códigos maliciosos, así como procedimientos
apropiados de concienciación de los usuarios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Justificar la instalación de software de fuentes no verificadas
Llevar registros detallados del software adquirido
institucionalmente y de las actualizaciones necesarias
Preparar planes adecuados para asegurar la continuidad de los
sistemas con el fin de recuperarse de ataques de códigos
maliciosos
Ej.: Reportes periódicos sobre el funcionamiento del software
instalado en los equipos de usuario final
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Creación de un registro de las actividades implicadas en el
procesamiento de información interno
Ej.: Escaneo de documentos para ingresarlos al Sistema de
Control Documental
Implementar procesos de análisis y especificación de requisitos
de seguridad durante el desarrollo de proyectos, que permitan
identificar controles necesarios para un correcto manejo de la
seguridad de la información
Ej.: Especificar los requisitos de seguridad, como puede ser
definir nombres de usuarios y contraseñas para utilizar el
sistema
Para los proyectos de adquisición de software, se debe hacer el
análisis previo de los requisitos de seguridad, antes del proceso
formal de compra
Control de procesamiento interno 12.2.2
“Se deberían incorporar verificaciones de
validación en las aplicaciones para detectar
cualquier daño o pérdida de la información por
errores de procesamiento o actos deliberados”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
338
No se ha
planificado una
renovación
oportuna de
licencias
(Antivirus,
Windows, etc.)
Vulnerabilidad
Nivel del
Riesgo
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los sistemas
operativos”.
Comprobar con regularidad que la suscripción a sitios web de
verificación y/o listados de correo suministren información sobre
los códigos maliciosos nuevos
Controles contra códigos maliciosos 10.4.1
“Se deberían implementar controles de detección,
prevención y recuperación para proteger contra
códigos maliciosos, así como procedimientos
apropiados de concienciación de los usuarios”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después de
las pruebas respectivas que consideren la capacidad de uso,
seguridad efectos en otros sistemas y se debe garantizar que
las bibliotecas fuente del programa estén actualizadas
Se debe implantar una política de estrategia de restauración al
estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las actualizaciones
de las bibliotecas de los programas operativos
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
339
Software nuevo o
inmaduro
No se ha
planificado una
renovación
oportuna de
licencias
(Antivirus,
Windows, etc.)
Vulnerabilidad
Bajo
Nivel del
Riesgo
SICOEIR
Servicios
Aceptación del sistema 10.3.2
“Se deberían establecer criterios de aceptación
para sistemas de información nuevos,
actualizaciones y nuevas versiones y llevar a cabo
los ensayos adecuados del sistema durante el
desarrollo y antes de la aceptación”.
Separación de las instalaciones de desarrollo
ensayo y operación 10.1.4
“Las instalaciones de desarrollo, ensayo y
operación deberían estar separadas para reducir
los riesgos de acceso o cambios no autorizados en
el sistema operativo”.
Monitoreo y revisión de los servicios por terceros
10.2.2
“Los servicios, reportes y registros suministrados
por terceras partes se deberían controlar y revisar
con regularidad y las auditorías se deberían llevar
a cabo a intervalos regulares”.
Gestión de los cambios en los servicios por
terceras partes 10.2.3
“Los cambios en la prestación de los servicios,
incluyendo mantenimiento y mejora de las políticas
existentes de la seguridad de la información, en
los procedimientos y los controles se deberían
gestionar teniendo en cuenta la importancia de los
sistemas y procesos del negocio involucrados, así
como la reevaluación de los riesgos”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Previo a la aceptación del sistema se deben definir los
procedimientos de reinicio y recuperación por errores y
establecer parámetros mínimos de seguridad
Ej.: Almacenar diferentes versiones durante el desarrollo del
sistema nuevo
Verificar que la instalación del sistema nuevo no afectará de
forma negativa a las sistemas existentes
Ej.: Ejecutar el sistema nuevo en un entorno de pruebas
Planificar capacitaciones sobre el funcionamiento o utilización
de los sistemas nuevos
Hacer una verificación del cumplimiento de las cláusulas acerca
de cambios en los sistemas desarrollados estipulas en los
contratos con terceras partes
Documentar detalladamente los procedimientos realizados en
los servicios, tanto por terceras partes como por la DTT y
acordar reuniones periódicas para evaluar los mismos
Crear un entorno de pruebas para que el software de desarrollo
se ejecute en diferentes dominios o directorios que los sistemas
que se encuentran operativos
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
340
Software nuevo o
inmaduro
Vulnerabilidad
Nivel del
Riesgo
Servicios
Recomendaciones
Verificar el cumplimiento de todos los criterios de aceptación de
los sistemas nuevos mediante pruebas de funcionamiento y
operatividad de los mismos
Implementar procesos de análisis y especificación de requisitos
de seguridad durante el desarrollo de proyectos, que permitan
identificar controles necesarios para un correcto manejo de la
seguridad de la información
Ej.: Especificar los requisitos de seguridad, como puede ser
definir nombres de usuarios y contraseñas para utilizar el
sistema
Para los proyectos de adquisición de software, se debe hacer el
análisis previo de los requisitos de seguridad, antes del proceso
formal de compra
Recomendar a otras direcciones de la Institución sobre la
verificación de la actualización de información que debe estar
disponible al público
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después de
las pruebas respectivas que consideren la capacidad de uso,
seguridad efectos en otros sistemas y se debe garantizar que
las bibliotecas fuente del programa estén actualizadas
Se debe implantar una política de estrategia de restauración al
estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las actualizaciones
de las bibliotecas de los programas operativos
Planificar la utilización de información de sistemas en
funcionamiento en pruebas de los sistemas nuevos, con el fin
de no modificar o eliminar información útil
Controles existentes
Aceptación del sistema 10.3.2
“Se deberían establecer criterios de aceptación
para sistemas de información nuevos,
actualizaciones y nuevas versiones y llevar a cabo
los ensayos adecuados del sistema durante el
desarrollo y antes de la aceptación”.
Análisis y especificación de los requisitos de
seguridad 12.1.1
“Las declaraciones sobre los requisitos del negocio
para nuevos sistemas de información o mejoras a
los sistemas existentes deberían especificar los
requisitos para los controles de la seguridad”.
Validación de los datos de salida 12.2.4
“Se deberían validar los datos de salida de una
aplicación para asegurar que el procesamiento de
la información almacenada es correcto y adecuado
a las circunstancias”.
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los sistemas
operativos”.
Protección de los datos de prueba del sistema
12.4.2
“Los datos de prueba deberían seleccionarse
cuidadosamente, así como protegerse y
controlarse”.
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
341
Software nuevo o
inmaduro
Vulnerabilidad
Nivel del
Riesgo
Servicios
Procedimientos de control de cambios 12.5.1
“Se debería controlar la implementación de
cambios utilizando procedimientos formales de
control de cambios”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Garantizar la notificación oportuna a los funcionarios respectivos
sobre los cambios en el sistema en funcionamiento para permitir
la realización de pruebas y revisiones apropiadas antes de la
implementación
Identificación de todo el software, la información, las bases de
datos y hardware que requieran mejora
Garantizar que la documentación del sistema está actualizada al
finalizar cada cambio y que la documentación antigua se archiva
o elimina
Ej.: Llevar un registro detallado de las actualizaciones
Mantener un registro para auditoría de todos los cambios
solicitados
Revisión técnica de las aplicaciones después de
los cambios en el sistema operativo 12.5.2
“Cuando se cambian los sistemas operativos, las
aplicaciones críticas para el negocio se deberían
revisar y someter a prueba para asegurar que no
hay impacto adverso en las operaciones ni en la
seguridad de la organización”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
342
Nivel del
Riesgo
Moderado
Moderado
Vulnerabilidad
No realizar
mantenimiento
preventivo de los
equipos del área
de trabajo
Falta de
mantenimiento
del
direccionamiento
IP (DHCP)
Switching y
Routing
DNS, DHCP,
NTP
Telefonía IP
Antivirus
Servicios
Monitoreo de uso del sistema 10.10.2
“Se deberían establecer procedimientos para el
monitoreo de uso de los servicios de
procesamiento de información, y los resultados de
las actividades de monitoreo se deberían revisar
con regularidad”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Mantenimiento de los equipos 9.2.4
“Los equipos deberían recibir mantenimiento
adecuado para asegurar su continua disponibilidad
e integridad”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Definir procedimientos para el monitoreo de uso de los
diferentes sistemas a cargo de la DTT
Ej.: Monitorear a los usuarios que ingresan a los sistemas
Registrar acciones efectuadas usando cuentas privilegiadas,
identificando cambios o intentos de cambio en configuraciones y
controles de seguridad del sistema
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Conservar registro de todas las fallas reales o sospechadas y de
todo el mantenimiento preventivo y correctivo
Ej.: Designar un funcionario que registre las actividades de
mantenimiento realizadas en los diferentes equipos.
Verificar que el mantenimiento del sistema de acceso biométrico
se realice periódicamente
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
343
Nivel del
Riesgo
Bajo
Vulnerabilidad
Falta de
mantenimiento
del
direccionamiento
IP (DHCP)
Telefonía IP
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Revisar periódicamente la planificación de direccionamiento
tanto para la LAN como para las redes inalámbricas, para que
se adapte a los requerimientos de acuerdo al número de
usuarios.
Separación en las redes 11.4.5
“En las redes se deberían separar los grupos de
servicios de información, usuarios y sistemas de
información”.
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los flujos
de información no incumplan la política de control
de acceso de las aplicaciones del negocio”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
344
No actualizar el
inventario de
software
Vulnerabilidad
Moderado
Nivel del
Riesgo
Antivirus
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que
observen y reporten todas las debilidades
observadas o sospechadas en los sistemas o
servicios”.
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los
sistemas operativos”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después de
las pruebas respectivas que consideren la capacidad de uso,
seguridad efectos en otros sistemas y se debe garantizar que
las bibliotecas fuente del programa estén actualizadas
Se debe implantar una política de estrategia de restauración al
estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las actualizaciones
de las bibliotecas de los programas operativos
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
345
Mal dimensionamiento del
número de
usuarios del
antivirus
No actualizar el
inventario de
software
Vulnerabilidad
Moderado
Nivel del
Riesgo
Antivirus
Servicios
Responsabilidades y procedimientos 13.2.1
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los
sistemas operativos”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después de
las pruebas respectivas que consideren la capacidad de uso,
seguridad efectos en otros sistemas y se debe garantizar que
las bibliotecas fuente del programa estén actualizadas
Se debe implantar una política de estrategia de restauración al
estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las actualizaciones
de las bibliotecas de los programas operativos
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
346
No llevar registro
de las
modificaciones en
las
configuraciones
realizadas en los
equipos de
conectividad
Mal dimensionamiento del
número de
usuarios del
antivirus
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Telefonía IP
Servidores
RISC e Intel
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Control del enrutamiento en la red 11.4.7
“Se deberían implementar controles de
enrutamiento en las redes con el fin de asegurar
que las conexiones entre computadores y los flujos
de información no incumplan la política de control
de acceso de las aplicaciones del negocio”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Monitorear que las conexiones a las aplicaciones se realiza
desde equipos de la institución o equipos autorizados
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Establecer procedimientos detallando actividades que pueden
realizarse para proteger la información contra acceso o
manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Establecer procedimientos formales para documentar y
gestionar los cambios en los sistemas y servicios
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Gestión del cambio 10.1.2
“Se deberían controlar los cambios en los servicios
y los sistemas de procesamiento de información”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
347
Uso incorrecto de
Software o
Hardware
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Servidores
RISC e Intel
Switching y
Routing
Telefonía IP
DNS, DHCP,
NTP
Servicios
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los sistemas
operativos”.
Computación y comunicaciones móviles 11.7.1
“Se debería establecer una política formal y se
deberían adoptar las medidas de la seguridad
apropiadas para la protección contra los riesgos
debidos al uso de dispositivos de computación y
comunicaciones móviles”.
Identificación de los equipos en las redes 11.4.3
“La identificación automática de los equipos se
debería considerar un medio para autenticar
conexiones de equipos y ubicaciones
específicas”.
Establecer un procedimiento para respaldar información
contenida en laptops institucionales
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después de
las pruebas respectivas que consideren la capacidad de uso,
seguridad efectos en otros sistemas y se debe garantizar que
las bibliotecas fuente del programa estén actualizadas
Se debe implantar una política de estrategia de restauración al
estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las actualizaciones
de las bibliotecas de los programas operativos
Establecer una política para el manejo de dispositivos de
computación y comunicaciones móviles.
Elaborar y mantener adecuadamente un registro de los nombres
asignados a los equipos en la institución
Definir un procedimiento para el transporte adecuado de medios
físicos fuera de la institución
El embalaje de equipos debe ser suficiente para proteger su
contenido
Crear un entorno de pruebas para que el software de desarrollo
se ejecute en diferentes dominios o directorios que los sistemas
que se encuentran operativos
Separación de las instalaciones de desarrollo
ensayo y operación 10.1.4
“Las instalaciones de desarrollo, ensayo y
operación deberían estar separadas para
reducir los riesgos de acceso o cambios no
autorizados en el sistema operativo”.
Medios físicos en tránsito 10.8.3
“Los medios que contienen información se
deberían proteger contra el acceso no autorizado,
el uso inadecuado o la corrupción durante el
transporte más allá de los límites físicos de la
organización”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
348
Falta de
conciencia acerca
de la seguridad
Uso incorrecto de
Software o
Hardware
Vulnerabilidad
Moderado
Nivel del
Riesgo
Telefonía IP
Switching y
Routing
Antivirus
SICOEIR
Recursos
Compartidos
Servicios
Acuerdos para el intercambio 10.8.3
Procedimientos para el manejo de la información
10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con el
fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Protección de los datos de prueba del sistema
12.4.2
“Los datos de prueba deberían seleccionarse
cuidadosamente, así como protegerse y
controlarse”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
El embalaje de equipos debe ser suficiente para proteger su
contenido
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Planificar la utilización de información de sistemas en
funcionamiento en pruebas de los sistemas nuevos, con el fin
de no modificar o eliminar información útil
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
349
Nivel del
Riesgo
Bajo
Vulnerabilidad
Falta de
conciencia acerca
de la seguridad
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Servidores
RISC e Intel
Servicios
Equipo de usuario desatendido 11.3.2
“Los usuarios deberían asegurarse de que los
equipos desatendidos tengan protección
apropiada”.
Uso de contraseñas 11.3.1
“Se debería exigir a los usuarios el cumplimiento
de buenas prácticas de la seguridad en la
selección y el uso de las contraseñas”.
Protección del registro de la información 10.10.3
“El registro del servicio y la información se
deberían proteger contra el acceso o la
manipulación no autorizados”.
Sistemas de información del negocio 10.8.5
“Se deberían establecer, desarrollar e implementar
políticas y procedimientos para proteger la
información asociada con la interconexión de los
sistemas de información del negocio”.
Definir un procedimiento para el transporte adecuado de
medios físicos fuera de la institución
Acuerdos para el intercambio 10.8.3
“Los medios que contienen información se
deberían proteger contra el acceso no autorizado,
el uso inadecuado o la corrupción durante el
transporte más allá de los límites físicos de la
organización”.
Exigir a los usuarios el uso de mecanismos de bloqueo para
momentos que el equipo no está siendo utilizado
Establecer una política para gestionar la forma en que se
comparte la información
Ej.: Definir carpetas compartidas verificando usuarios que
tengan acceso a las mismas
Establecer restricciones de acceso a los servicios de
acuerdo a diferentes categorías de personal previamente
definidas
Ej.: Verificar los funcionarios que tienen acceso a cada
servicio
Se debe hace un levantamiento del funcionamiento actual de
servicios más antiguos
Ej.: Infracciones y Sanciones
Establecer procedimientos detallando actividades que
pueden realizarse para proteger la información contra
acceso o manipulación no autorizada
Ej.: definir usuarios para cada funcionario autorizado en los
equipos principales del Centro de Cómputo, confirmando la
validación de la información
Exigir a los usuarios que eviten mantener registros de las
contraseñas
Seleccionar contraseñas con longitud mínima suficiente
Ej.: Longitud mínima de ocho caracteres, entre mayúsculas
símbolos y números
No compartir las contraseñas de usuario individuales
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
350
Falta de
conciencia acerca
de la seguridad
Vulnerabilidad
Nivel del
Riesgo
Servicios
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea
posible”.
Análisis y especificación de los requisitos de
seguridad 12.1.1
“Las declaraciones sobre los requisitos del negocio
para nuevos sistemas de información o mejoras a
los sistemas existentes deberían especificar los
requisitos para los controles de la seguridad”.
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Implementar procesos de análisis y especificación de requisitos
de seguridad durante el desarrollo de proyectos, que permitan
identificar controles necesarios para un correcto manejo de la
seguridad de la información
Ej.: Especificar los requisitos de seguridad, como puede ser
definir nombres de usuarios y contraseñas para utilizar el
sistema
Para los proyectos de adquisición de software, se debe hacer el
análisis previo de los requisitos de seguridad, antes del proceso
formal de compra
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Establecer un procedimiento para respaldar información
contenida en laptops institucionales
Establecer una política para el manejo de dispositivos de
computación y comunicaciones móviles.
Establecer una política de escritorio despejado y pantalla
despejada para asegurar los medios de almacenamiento y las
sesiones de computadores y terminales
Ej.: Exigir el bloqueo del equipo si no está en uso
Política de escritorio despejado y de pantalla
despejada 11.3.3
“Se debería adoptar una política de escritorio
despejado para reportes y medios de
almacenamiento removibles y una política de
pantalla despejada para los servicios de
procesamiento de información”.
Computación y comunicaciones móviles 11.7.1
“Se debería establecer una política formal y se
deberían adoptar las medidas de la seguridad
apropiadas para la protección contra los riesgos
debidos al uso de dispositivos de computación y
comunicaciones móviles”.
Recomendaciones
Controles existentes
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
351
Ausencia de
procedimientos
de identificación y
valoración de
riesgos
Falta de
conciencia acerca
de la seguridad
Vulnerabilidad
Moderado
Nivel del
Riesgo
Recursos
Compartidos
Servicios
Sistemas de información del negocio 10.8.5
Acuerdos para el intercambio 10.8.3
“Los medios que contienen información se
deberían proteger contra el acceso no autorizado,
el uso inadecuado o la corrupción durante el
transporte más allá de los límites físicos de la
organización”.
Procedimientos para el manejo de la información
10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con el
fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Definir un procedimiento para el transporte adecuado de medios
físicos fuera de la institución
Establecer una política para gestionar la forma en que se
comparte la información
Ej.: Definir carpetas compartidas verificando usuarios que
tengan acceso a las mismas
El embalaje de equipos debe ser suficiente para proteger su
contenido
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
352
Mal manejo de
cuentas de
usuario para la
autenticación de
usuarios en el
sistema LDAP
(Active Directory)
Ausencia de
procedimientos
de identificación y
valoración de
riesgos
Vulnerabilidad
Moderado
Nivel del
Riesgo
Switching y
Routing
DNS, DHCP,
NTP
Servicios
Procedimientos para el manejo de la información
10.7.3
“Se deberían establecer procedimientos para el
manejo y almacenamiento de la información con el
fin de proteger dicha información contra
divulgación no autorizada o uso inadecuado”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Sistemas de información del negocio 10.8.5
“Se deberían establecer, desarrollar e implementar
políticas y procedimientos para proteger la
información asociada con la interconexión de los
sistemas de información del negocio”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Las acciones tomadas para la recuperación de las violaciones
de seguridad y corrección del fallas de los sistemas debe estar
completamente detalladas y controladas
Establecer procedimientos para manejar, procesar y almacenar
correctamente la información, incluyendo:
- Manejo y etiquetado de los medios de almacenamiento de
acuerdo a su clasificación
- Restricciones de acceso
- Registro formal de los receptores autorizados de información
- Protección de los datos de la memoria temporal de equipos de
procesamiento y almacenamiento de información que esperan
su ejecución
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Establecer restricciones de acceso a los servicios de acuerdo a
diferentes categorías de personal previamente definidas
Ej.: Verificar los funcionarios que tienen acceso a cada servicio
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
353
Mal manejo de
cuentas de
usuario para la
autenticación de
usuarios en el
sistema LDAP
(Active Directory)
Vulnerabilidad
Bajo
Nivel del
Riesgo
Recursos
Compartidos
Servicios
Responsabilidades y procedimientos 13.2.1
Reporte sobre las debilidades en la seguridad
13.1.2
“Se debería exigir a todos los empleados,
contratistas y usuarios de terceras partes de los
sistemas y servicios de información que observen
y reporten todas las debilidades observadas o
sospechadas en los sistemas o servicios”.
Reporte sobre los eventos de seguridad de la
información 13.1.1
“Los eventos de seguridad de la información se
deberían informar a través de los canales de
gestión apropiados tan pronto como sea posible”.
Política de control de acceso 11.1.1
“Se debería establecer, documentar y revisar la
política de control de acceso con base en los
requisitos del negocio y de la seguridad para el
acceso”.
Control de conexión a las redes 11.4.6
“Para redes compartidas, especialmente aquellas
que se extienden más allá de las fronteras de la
organización, se debería restringir la capacidad de
los usuarios para conectarse a la red, de acuerdo
con la política de control de acceso y los requisitos
de aplicación del negocio”.
Sistema de gestión de contraseñas 11.5.3
“Los sistemas para la gestión de contraseñas
deberían ser interactivos y deberían asegurar la
calidad de las contraseñas”.
Restricción del acceso a la información 11.6.1
“Se debería restringir el acceso a la información y
a las funciones del sistema de aplicación por parte
de los usuarios y del personal de soporte, de
acuerdo con la política definida de control de
acceso”.
Controles existentes
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la seguridad
de la información, considerando la sección 3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Los funcionarios deben tomar nota de los mensajes importantes
al presentarse un evento de seguridad de información
(mensajes en la pantalla, comportamiento extraño).
Capacitación adecuada a los funcionarios para generar los
reportes de soporte informático
Documentar los derechos de acceso otorgados a los diferentes
tipos de usuarios especificando la información a la que tendrá
acceso
Planificar mantenimiento periódico del software Active Directory
para verificar la eliminación de registro de usuarios no
existentes
Realizar periódicamente revisiones a los controles en la
conexión a las redes por parte del personal cargo de esta
función
Ej.: Revisar las reglas predefinidas en los firewalls
Aplicar las políticas de seguridad de TI para el control de acceso
Ej.: Elaborar un registro de usuarios
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
354
Ausencia en el
Personal
Mal manejo de
cuentas de
usuario para la
autenticación de
usuarios en el
sistema LDAP
(Active Directory)
Vulnerabilidad
Moderado
Nivel del
Riesgo
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
SICOEIR
Recursos
Compartidos
Servicios
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Control del software operativo 12.4.1
“Se deberían establecer procedimientos para
controlar la instalación de software en los
sistemas operativos”.
Responsabilidades y procedimientos 13.2.1
“Se deberían establecer las responsabilidades y
los procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información”.
Controles existentes
Los sistemas en funcionamiento deben contener únicamente
códigos ejecutables aprobados y no códigos en desarrollo.
El software desarrollado solo se debe implementar después
de las pruebas respectivas que consideren la capacidad de
uso, seguridad efectos en otros sistemas y se debe
garantizar que las bibliotecas fuente del programa estén
actualizadas
Se debe implantar una política de estrategia de restauración
al estado anterior antes de implementar cambios
Ej.: Guardar versiones de las diferentes etapas del desarrollo
del sistema
Conservar registros para auditoría de todas las
actualizaciones de las bibliotecas de los programas
operativos
Definir directrices para establecer responsabilidades y
procedimientos de gestión para los incidentes de la
seguridad de la información, considerando la sección
3.2.5.9.3
Ej.: Recolectar y asegurar pistas para auditorías
Las acciones tomadas para la recuperación de las
violaciones de seguridad y corrección del fallas de los
sistemas debe estar completamente detalladas y controladas
Las acciones tomadas para la recuperación de las
violaciones de seguridad y corrección del fallas de los
sistemas debe estar completamente detalladas y controladas
Recomendaciones
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT
355
Moderado
Moderado
No asegurar
correctamente la
ubicación de los
equipos
Mal mantenimiento
de los sistemas de
Aire Acondicionado
TODOS LOS
SERVICIOS
Servidores
RISC e Intel
Telefonía IP
Moderado
TODOS LOS
SERVICIOS
Switching y
Routing
Bajo
Mal mantenimiento
del sistema de
Control de acceso
al Centro de
Cómputo
TODOS LOS
SERVICIOS
Servicios
Bajo
Alto
No se realiza un
mantenimiento
periódico del
Sistema Contra
incendios
No realizar la
renovación
oportuna de
equipos
Nivel del
Riesgo
Vulnerabilidad
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Controles faltantes
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Recomendaciones
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
La Tabla 4.3 muestra las recomendaciones para los controles faltantes en los servicios de la DTT, de acuerdo [6].
356
Moderado
No se tiene una
documentación de
los monitoreos que
se realizan a los
enlaces WAN
Moderado
Bajo
Switching y
Routing
Moderado
No revisar
periódicamente la
conexión entre el
sistema de UPS y
la red de energía
eléctrica en el
edificio.
Conexión
deficiente de los
cables
TODOS LOS
SERVICIOS
Bajo
Switching y
Routing
Recursos
Compartidos
Oracle
Telefonía IP
DNS, DHCP,
NTP
TODOS LOS
SERVICIOS
No tener correctas
instalaciones
eléctricas
Servicios
Nivel del
Riesgo
Vulnerabilidad
Documentación de los procedimientos de operación
10.1.1
“Los procedimientos de operación se deberían
documentar, mantener y estar disponibles para todos
los usuarios que los necesiten”.
Uso aceptable de los activos 7.1.3
“Se deben identificar, documentar e implementar las
reglas sobre el uso aceptable de la información y de los
activos asociados con el procesamiento de la
información”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Establecer reglas para la identificación y documentación de
los activos asociados al procesamiento de la información a
cargo de la DTT.
Ej.: Asignar una identificación para los equipos en la red.
Establecer políticas para uso de correo electrónico, de
Internet y de dispositivos móviles fuera de las instalaciones
de la institución.
Ej.: Evitar el uso de correo institucional para asuntos
personales.
Revisar los aspectos necesarios para la documentación de
los procedimientos de operación de los servicios de
acuerdo a lo definido en la descripción de los controles
para el tratamiento de los riesgos sección 3.2.5.6.1
Ej.: Mantener un listado de contactos de soporte en caso
de dificultades técnicas inesperadas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
357
Administración
incorrecta de los
parámetros de
funcionamiento de
los equipos de
telecomunicaciones
No se tiene una
documentación de
los monitoreos que
se realizan a los
enlaces WAN
Vulnerabilidad
Bajo
Nivel del
Riesgo
SICOEIR
Recursos
Compartidos
Oracle
Servicios
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Documentación de los procedimientos de operación
10.1.1
“Los procedimientos de operación se deberían
documentar, mantener y estar disponibles para todos
los usuarios que los necesiten”.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Documentar los procedimientos para realizar
mantenimiento de equipos físicos
Ej.: Tener un registro del mantenimiento realizado a los
equipos.
Documentar los procedimientos para realizar copias de
respaldo previo al mantenimiento de un equipo.
Ej.: Pedir a los usuarios que respalden su información en
una ubicación segura.
Elaborar un documento detallado de contactos de soporte
de los proveedores para dificultades técnicas u operativas
inesperadas.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
358
Moderado
Bajo
Falta de certificado
de seguridad para
las Páginas Web
Moderado
Bajo
Nivel del
Riesgo
Mal mantenimiento
de los Sistemas de
Alimentación
Ininterrumpida
(UPS)
Administración
incorrecta de los
parámetros de
funcionamiento de
los equipos de
telecomunicaciones
Vulnerabilidad
SICOEIR
TODOS LOS
SERVICIOS
Antivirus
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Servicios
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Recomendaciones
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
359
No monitorear
adecuadamente los
accesos al servidor
SFTP de forma
externa
Administración
incorrecta de los
parámetros de
funcionamiento de
los firewalls
Vulnerabilidad
Bajo
Moderado
Bajo
Nivel del
Riesgo
Oracle
SICOEIR
Virtualización
RISC e Intel
SICOEIR
DNS, DHCP,
NTP
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Recursos
Compartidos
Controles faltantes
Servicios
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Recomendaciones
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
360
No se tiene una
planificación de
monitoreos
periódicos a los
enlaces WAN
Mal manejo de
contraseñas (de
servidores,
consolas de
administración,
sistema de
backups y
estaciones de
trabajo)
No monitorear
adecuadamente los
accesos al servidor
SFTP de forma
externa
Vulnerabilidad
Bajo
Moderado
Bajo
Moderado
Nivel del
Riesgo
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Oracle
Antivirus
Recursos
Compartidos
Recursos
Compartidos
ORACLE
SICOEIR
Antivirus
DNS, DHCP,
NTP
Switching y
Routing
Servicios
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Establecer políticas y procedimientos para el intercambio
de información de acuerdo a lo recomendado en la sección
3.2.5.6.19 de la descripción de los controles para el
tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en copiadoras o
impresoras.
Capacitar al personal sobre la importancia de la privacidad
de conversaciones confidenciales.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
361
Alto
Moderado
Asignación errada
de derechos de
acceso al servidor
SFTP
Nivel del
Riesgo
No encriptar la
información
No se tiene una
planificación de
monitoreos
periódicos a los
enlaces WAN
Vulnerabilidad
SICOEIR
SICOEIR
Servicios
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Integridad del mensaje 12.2.3
“Se deberían identificar los requisitos para asegurar la
autenticidad y proteger la integridad del mensaje en las
aplicaciones, así como identificar e implementar los
controles adecuados”.
Política sobre el uso de controles criptográficos 12.3.1
“Se debería desarrollar e implementar una política sobre
el uso de controles criptográficos para la protección de
la información”.
Gestión de Claves 12.3.2
“Se debería establecer la gestión de claves para apoyar
el uso de técnicas criptográficas en la organización”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Reglamentación de los controles criptográficos 15.1.6
“Se deberían utilizar controles criptográficos que
cumplan todos los acuerdos, las leyes y los reglamentos
pertinentes”.
Controles faltantes
Establecer políticas y procedimientos para el intercambio
de información de acuerdo a lo recomendado en la sección
3.2.5.6.19 de la descripción de los controles para el
tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en copiadoras o
impresoras.
Capacitar al personal sobre la importancia de la privacidad
de conversaciones confidenciales.
Establecer un procedimiento para el uso de controles
criptográficos tomando en cuenta las recomendaciones
detalladas en la sección 3.2.5.11.6
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Definir la gestión de claves en base a sección 3.2.5.8.7
Ej.: Almacenar las claves, incluyendo la forma en la que los
usuarios autorizados tendrán acceso a ellas.
Definir políticas para el uso de controles criptográficos con
base en la sección 3.2.5.8.6
Ej.: Identificar el tipo de algoritmo de cifrado requerido.
Definir directrices de seguridad que permitan identificar los
mensajes que requieren integridad.
Ej.: Usar controles criptográficos para asegurar la
integridad del mensaje.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Recomendaciones
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
362
Mal manejo de la
compartición de la
información
Asignación errada
de derechos de
acceso al servidor
SFTP
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Virtualización
RISC e Intel
Recursos
Compartidos
Servicios
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Establecer políticas y procedimientos para el intercambio
de información de acuerdo a lo recomendado en la sección
3.2.5.6.19 de la descripción de los controles para el
tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en copiadoras o
impresoras.
Capacitar al personal sobre la importancia de la privacidad
de conversaciones confidenciales.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
363
Falta de control de
acceso a las
carpetas
compartidas
Administración
inadecuada de los
equipos del área
de trabajo
disponibles para su
uso
Mal manejo de la
compartición de la
información
Vulnerabilidad
Bajo
Alto
Moderado
Nivel del
Riesgo
Virtualización
RISC e Intel
Recursos
Compartidos
Telefonía IP
DNS, DHCP,
NTP
Servicios
Establecer un procedimiento para la eliminación de los
equipos
Ej.: Formatear el equipo a eliminar.
Evaluar si los equipos deben ser destruidos físicamente o
reparados previo a su eliminación.
Verificar que se cumplan con la eliminación de toda la
información sensible de los equipos a ser dados de baja.
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Seguridad en la reutilización o eliminación de los
equipos 9.2.6
“Se deberían verificar todos los elementos del equipo
que contengan medios de almacenamiento para
asegurar que se haya eliminado cualquier software
licenciado y datos sensibles o asegurar que se hayan
sobrescrito de forma segura, antes de la eliminación”.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Establecer políticas y procedimientos para el intercambio
de información de acuerdo a lo recomendado en la sección
3.2.5.6.19 de la descripción de los controles para el
tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en copiadoras o
impresoras.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
364
Mala
administración de
los registros de
direcciones MAC
de los equipos para
acceso a la red
inalámbrica y
telefonía IP
No deshabilitar
puertos no
utilizados en
equipos de
conectividad
Falta de control de
acceso a las
carpetas
compartidas
Vulnerabilidad
Telefonía IP
Bajo
Moderado
Telefonía IP
DNS, DHCP,
NTP
Switching y
Routing
Servicios
DNS, DHCP,
NTP
Bajo
Moderado
Nivel del
Riesgo
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Capacitar al personal sobre la importancia de la privacidad
de conversaciones confidenciales.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Políticas y procedimientos para el intercambio de
información 10.8.1
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
365
No tener soporte
por parte del
proveedor del
software
Mala
administración de
los registros de
direcciones MAC
de los equipos para
acceso a la red
inalámbrica y
telefonía IP
No se hace una
verificación
periódica de la
seguridad de los
switches de acceso
en cada piso
Vulnerabilidad
Moderado
Moderado
Nivel del
Riesgo
Antivirus
Virtualización
RISC e Intel
Switching y
Routing
Servicios
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Revisar los aspectos necesarios para la documentación de
los procedimientos de operación de los servicios de
acuerdo a lo definido en la descripción de los controles
para el tratamiento de los riesgos sección 3.2.5.6.1
Ej.: Mantener un listado de contactos de soporte en caso
de dificultades técnicas inesperadas.
Documentar los procedimientos para realizar
mantenimiento de equipos físicos
Ej.: Tener un registro del mantenimiento realizado a los
equipos.
Documentar los procedimientos para realizar copias de
respaldo previo al mantenimiento de un equipo.
Ej.: Pedir a los usuarios que respalden su información en
una ubicación segura.
Elaborar un documento detallado de contactos de soporte
de los proveedores para dificultades técnicas u operativas
inesperadas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Documentación de los procedimientos de operación
10.1.1
“Los procedimientos de operación se deberían
documentar, mantener y estar disponibles para todos
los usuarios que los necesiten”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Recomendaciones
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
366
Bajo
Moderado
Bajo
Asignación errada
de derechos de
acceso
Tener
administradores de
segundo nivel que
puedan hacer
cambios no
autorizados
Nivel del
Riesgo
Vulnerabilidad
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
SICOEIR
Recursos
Compartidos
Antivirus
Recursos
Compartidos
Servicios
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Controles faltantes
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Establecer políticas y procedimientos para el intercambio
de información de acuerdo a lo recomendado en la sección
3.2.5.6.19 de la descripción de los controles para el
tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en copiadoras o
impresoras.
Capacitar al personal sobre la importancia de la privacidad
de conversaciones confidenciales.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Recomendaciones
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
367
No realizar la
renovación
oportuna del
dominio de la
página web
No verificar la
actualización de la
información
entregada (tanto en
carpetas
compartidas como
la colocada en la
web)
Administración
inadecuada de las
cuentas de usuario
en Active Directory
Vulnerabilidad
SICOEIR
DNS, DHCP,
NTP
Moderado
Virtualización
RISC e Intel
SICOEIR
Recursos
Compartidos
Telefonía IP
Alto
Bajo
Moderado
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información
que están en uso, evaluar la exposición de la
organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos
asociados”.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Bajo
DNS, DHCP,
NTP
Recursos
Compartidos
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Recomendaciones
Controles faltantes
Servicios
Nivel del
Riesgo
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
368
No respaldar la
información
generada de forma
periódica
Falla de los
archivos de
respaldo
Falta de
mantenimiento de
las bases de datos
Falta de
planificación sobre
la capacidad de
procesamiento de
la información
Falta de planificación
sobre la capacidad de
procesamiento de la
información
Vulnerabilidad
Bajo
Virtualización
RISC e Intel
Virtualización
RISC e Intel
Bajo
Bajo
Virtualización
RISC e Intel
Alto
Oracle
SICOEIR
Moderado
Moderado
Virtualización
RISC e Intel
Bajo
Servicios
Oracle
Recursos
Compartidos
SICOEIR
Nivel del
Riesgo
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Controles faltantes
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Recomendaciones
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
369
Tener archivos de
respaldos en los
mismos equipos
del Centro de
Cómputo principal
No respaldar la
información de
configuración de
los servidores y
equipos de
conectividad
No respaldar la
información
generada de forma
periódica
Vulnerabilidad
Muy Alto
Moderado
Alto
Nivel del
Riesgo
Oracle
Switching y
Routing
Virtualización
RISC e Intel
DNS, DHCP,
NTP
Servicios
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Uso aceptable de los activos 7.1.3
“Se deben identificar, documentar e implementar las
reglas sobre el uso aceptable de la información y de los
activos asociados con el procesamiento de la
información”.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Establecer reglas para la identificación y documentación de
los activos asociados al procesamiento de la información a
cargo de la DTT.
Ej.: Asignar una identificación para los equipos en la red.
Establecer políticas para uso de correo electrónico, de
Internet y de dispositivos móviles fuera de las instalaciones
de la institución.
Ej.: Evitar el uso de correo institucional para asuntos
personales.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
370
Nivel del
Riesgo
Muy Alto
Bajo
Vulnerabilidad
Tener archivos de
respaldos en los
mismos equipos
del Centro de
Cómputo principal
No tener
respaldado el
código fuente del
desarrollo de
software dentro de
la DTT
Switching y
Routing
SICOEIR
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de acceso al código fuente de los programas
12.4.3
“Se debería restringir el acceso al código fuente de los
programas”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Uso aceptable de los activos 7.1.3
“Se deben identificar, documentar e implementar las
reglas sobre el uso aceptable de la información y de los
activos asociados con el procesamiento de la
información”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Recursos
Compartidos
Servidores
RISC e Intel
SICOEIR
Virtualización
RISC e Intel
Recomendaciones
Establecer reglas para la identificación y documentación de
los activos asociados al procesamiento de la información a
cargo de la DTT.
Ej.: Asignar una identificación para los equipos en la red.
Establecer políticas para uso de correo electrónico, de
Internet y de dispositivos móviles fuera de las instalaciones
de la institución.
Ej.: Evitar el uso de correo institucional para asuntos
personales.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Elaborar un procedimiento de respaldo del código fuente
de los programas desarrollados.
Ej.: Actualización, mantenimiento y copiado de bibliotecas
fuente, sujetos a un procedimiento de control de cambios.
Definir el personal autorizado al acceso y modificación de
los código fuente de los programas.
Controles faltantes
Servicios
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
371
No realizar
mantenimiento
técnico de equipos
en el Centro de
Cómputo
No realizar
mantenimiento
preventivo de los
equipos del área
de trabajo
No se realiza un
monitoreo periódico
de los enlaces de
la red institucional
(LAN)
No se dimensione
correctamente el
espacio necesario
para respaldar la
información
Vulnerabilidad
Moderado
Bajo
Moderado
Bajo
Moderado
Oracle
Servidores
RISC e Intel
Switching y
Routing
SICOEIR
Antivirus
Telefonía IP
Antivirus
DNS, DHCP,
NTP
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
Virtualización
RISC e Intel
Oracle
Bajo
Moderado
Servicios
Nivel del
Riesgo
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
372
Software nuevo o
inmaduro
No se ha
planificado una
renovación
oportuna de
licencias (Antivirus,
Windows, etc.)
Falta de
planificación de la
capacidad de
almacenamiento en
los servidores
Vulnerabilidad
Bajo
Moderado
Bajo
SICOEIR
Moderado
SICOEIR
Antivirus
DNS, DHCP,
NTP
Virtualización
RISC e Intel
Oracle
Servicios
Nivel del
Riesgo
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Derechos de propiedad intelectual (DPI) 15.1.2
“Se deberían implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el uso del material
con respecto al cual pueden existir derechos de
propiedad intelectual y sobre el uso de productos de
software patentados”.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registrar detalladamente los sistemas desarrollados por
funcionarios de la DTT y sus respectivos derechos de
propiedad intelectual.
Establecer procedimientos que permitan registrar el
número de usuarios permitidos a los cuales se les ha
instalado software licenciado.
Registrar el software instalado en los equipos de área de
trabajo que es autorizado pero no requiere licencia.
Crear una política que establezca los derechos de
propiedad intelectual que defina el uso legal del software y
de los productos de información.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
373
Falta de
mantenimiento del
direccionamiento IP
(DHCP)
Software nuevo o
inmaduro
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Servicios
Aislamiento de sistemas sensibles 11.6.2
“Los sistemas sensibles deberían tener un entorno
informático dedicado (aislados)”.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Aislamiento de sistemas sensibles 11.6.2
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Identificar, clasificar y documentar los sistemas sensibles a
cargo de la DTT.
Establecer un procedimiento para el uso de controles
criptográficos tomando en cuenta las recomendaciones
detalladas en la sección 3.2.5.11.6
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Definir la gestión de claves en base a sección 3.2.5.8.7
Ej.: Almacenar las claves, incluyendo la forma en la que los
usuarios autorizados tendrán acceso a ellas.
Definir políticas para el uso de controles criptográficos con
base en la sección 3.2.5.8.6
Ej.: Identificar el tipo de algoritmo de cifrado requerido.
Definir directrices de seguridad que permitan identificar los
mensajes que requieren integridad.
Ej.: Usar controles criptográficos para asegurar la
integridad del mensaje.
Identificar, clasificar y documentar los sistemas sensibles a
cargo de la DTT.
Implementar entornos de aislamiento para sistemas
sensibles (sistemas que manejen grandes cantidades de
información, ej.: SICOEIR) que estén siendo desarrollados
o que lleguen a ser críticos.
Integridad del mensaje 12.2.3
“Se deberían identificar los requisitos para asegurar la
autenticidad y proteger la integridad del mensaje en las
aplicaciones, así como identificar e implementar los
controles adecuados”.
Política sobre el uso de controles criptográficos 12.3.1
“Se debería desarrollar e implementar una política sobre
el uso de controles criptográficos para la protección de
la información”.
Gestión de Claves 12.3.2
“Se debería establecer la gestión de claves para apoyar
el uso de técnicas criptográficas en la organización”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Reglamentación de los controles criptográficos 15.1.6
“Se deberían utilizar controles criptográficos que
cumplan todos los acuerdos, las leyes y los reglamentos
pertinentes”.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
374
No actualizar el
inventario de
software
Falta de
mantenimiento del
direccionamiento IP
(DHCP)
Vulnerabilidad
Moderado
Nivel del
Riesgo
Antivirus
Servicios
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Implementar entornos de aislamiento para sistemas
sensibles (sistemas que manejen grandes cantidades de
información, Ej.: SICOEIR) que estén siendo desarrollados
o que lleguen a ser críticos.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles que
contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los sistemas
de computador.
Recomendaciones
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Aislamiento de sistemas sensibles 11.6.2
“Los sistemas sensibles deberían tener un entorno
informático dedicado (aislados)”.
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
375
No llevar registro
de las
modificaciones en
las configuraciones
realizadas en los
equipos de
conectividad
Moderado
Bajo
Switching y
Routing
DNS, DHCP,
NTP
Virtualización
RISC e Intel
SICOEIR
Telefonía IP
Servidores
RISC e Intel
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Registros del administrador y del operador 10.10.4
“Se deberían registrar las actividades tanto del operador
como del administrador del sistema”.
Uso aceptable de los activos 7.1.3
“Se deben identificar, documentar e implementar las
reglas sobre el uso aceptable de la información y de los
activos asociados con el procesamiento de la
información”.
Mal
dimensionamiento
del número de
usuarios del
antivirus
Establecer reglas para la identificación y documentación de
los activos asociados al procesamiento de la información a
cargo de la DTT.
Ej.: Asignar una identificación para los equipos en la red.
Establecer políticas para uso de correo electrónico, de
Internet y de dispositivos móviles fuera de las instalaciones
de la institución.
Ej.: Evitar el uso de correo institucional para asuntos
personales.
Registrar las actividades realizadas por los operadores y
administradores de los sistemas incluyendo:
- La hora en que ocurrió el evento
- Información sobre el evento
- La cuenta del administrador u operador involucrada.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
No actualizar el
inventario de
software
Antivirus
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Derechos de propiedad intelectual (DPI) 15.1.2
“Se deberían implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el uso del material
con respecto al cual pueden existir derechos de
propiedad intelectual y sobre el uso de productos de
software patentados”.
Moderado
Registrar detalladamente los sistemas desarrollados por
funcionarios de la DTT y sus respectivos derechos de
propiedad intelectual.
Establecer procedimientos que permitan registrar el
número de usuarios permitidos a los cuales se les ha
instalado software licenciado.
Registrar el software instalado en los equipos de área de
trabajo que es autorizado pero no requiere licencia.
Crear una política que establezca los derechos de
propiedad intelectual que defina el uso legal del software y
de los productos de información.
Servicios
Recomendaciones
Nivel del
Riesgo
Controles faltantes
Vulnerabilidad
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
376
Falta de conciencia
acerca de la
seguridad
Uso incorrecto de
Software o
Hardware
No llevar registro
de las
modificaciones en
las configuraciones
realizadas en los
equipos de
conectividad
Vulnerabilidad
Moderado
Bajo
Moderado
Nivel del
Riesgo
Switching y
Routing
SICOEIR
Switching y
Routing
Servidores
RISC e Intel
DNS, DHCP,
NTP
Telefonía IP
Servicios
Capacitar al personal sobre la importancia de la seguridad
de la información y las diferentes formas de implementar
seguridad.
Derechos de propiedad intelectual (DPI) 15.1.2
“Se deberían implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el uso del material
con respecto al cual pueden existir derechos de
propiedad intelectual y sobre el uso de productos de
software patentados”.
Educación, formación y concienciación sobre la
seguridad de la información 8.2.2
“Todos los empleados de la organización y, cuando sea
pertinente, los contratistas y los usuarios de terceras
partes deberían recibir formación adecuada en
concienciación y actualizaciones regulares sobre las
políticas y los procedimientos de la organización, según
sea pertinente para sus funciones laborales”.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Documentar detalladamente los procedimientos realizados
en los servicios, tanto por terceras partes como por la DTT
y acordar reuniones periódicas para evaluar los mismos.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando que
se resuelven correctamente.
Realizar la identificación de las vulnerabilidades técnicas
en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante la
presencia de vulnerabilidades técnicas.
Recomendaciones
Registrar detalladamente los sistemas desarrollados por
funcionarios de la DTT y sus respectivos derechos de
propiedad intelectual.
Establecer procedimientos que permitan registrar el
número de usuarios permitidos a los cuales se les ha
instalado software licenciado.
Registrar el software instalado en los equipos de área de
trabajo que es autorizado pero no requiere licencia.
Crear una política que establezca los derechos de
propiedad intelectual que defina el uso legal del software y
de los productos de información.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Monitoreo y revisión de los servicios por terceros 10.2.2
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición de
la organización a dichas vulnerabilidades y tomar las
acciones apropiadas para tratar los riesgos asociados”.
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
377
Falta de conciencia
acerca de la
seguridad
Vulnerabilidad
Bajo
Moderado
Nivel del
Riesgo
DNS, DHCP,
NTP
Oracle
Virtualización
RISC e Intel
Servidores
RISC e Intel
Telefonía IP
Derechos de propiedad intelectual (DPI) 15.1.2
“Se deberían implementar procedimientos
apropiados para asegurar el cumplimiento de los
requisitos legales, reglamentarios y contractuales
sobre el uso del material con respecto al cual pueden
existir derechos de propiedad intelectual y sobre el
uso de productos de software patentados”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Política sobre el uso de controles criptográficos
12.3.1
“Se debería desarrollar e implementar una política
sobre el uso de controles criptográficos para la
protección de la información”.
Gestión de Claves 12.3.2
“Se debería establecer la gestión de claves para
apoyar el uso de técnicas criptográficas en la
organización”.
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Recursos
Compartidos
Antivirus
Controles faltantes
Servicios
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución.
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles
que contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los
sistemas de computador.
Registrar detalladamente los sistemas desarrollados por
funcionarios de la DTT y sus respectivos derechos de
propiedad intelectual.
Establecer procedimientos que permitan registrar el
número de usuarios permitidos a los cuales se les ha
instalado software licenciado.
Registrar el software instalado en los equipos de área
de trabajo que es autorizado pero no requiere licencia.
Definir la gestión de claves en base a sección 3.2.5.8.7
Ej.: Almacenar las claves, incluyendo la forma en la que los
usuarios autorizados tendrán acceso a ellas.
Definir políticas para el uso de controles criptográficos con
base en la sección 3.2.5.8.6
Ej.: Identificar el tipo de algoritmo de cifrado requerido.
Establecer políticas y procedimientos para el intercambio
de información de acuerdo a lo recomendado en la sección
3.2.5.6.19 de la descripción de los controles para el
tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en copiadoras o
impresoras.
Capacitar al personal sobre la importancia de la privacidad
de conversaciones confidenciales.
Recomendaciones
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
378
Ausencia de
procedimientos de
identificación y
valoración de
riesgos
Falta de conciencia
acerca de la
seguridad
Vulnerabilidad
Moderado
Nivel del
Riesgo
Recursos
Compartidos
Servicios
Establecer políticas que orienten a los funcionarios en la
protección de su información personal dentro de la
Institución.
Planificar capacitaciones a los funcionarios de la
institución sobre el manejo apropiado de los sistemas,
para un uso adecuado de los servicios de
procesamiento de información.
Establecer un procedimiento para el uso de controles
criptográficos tomando en cuenta las recomendaciones
detalladas en la sección 3.2.5.11.6
Capacitar al personal sobre la importancia de la
seguridad de la información y las diferentes formas de
implementar seguridad.
Protección de los datos y privacidad de la
información personal 15.1.4
“Se debería garantizar la protección de los datos y la
privacidad, de acuerdo con la legislación y los
reglamentos pertinentes y, si se aplica, con las
cláusulas del contrato”.
Prevención del uso inadecuado de los servicios de
procesamiento de información 15.1.5
“Se debería disuadir a los usuarios de utilizar los
servicios de procesamiento de información para
propósitos no autorizados”.
Reglamentación de los controles criptográficos
15.1.6
“Se deberían utilizar controles criptográficos que
cumplan todos los acuerdos, las leyes y los
reglamentos pertinentes”.
Educación, formación y concienciación sobre la
seguridad de la información 8.2.2
“Todos los empleados de la organización y, cuando sea
pertinente, los contratistas y los usuarios de terceras
partes deberían recibir formación adecuada en
concienciación y actualizaciones regulares sobre las
políticas y los procedimientos de la organización, según
sea pertinente para sus funciones laborales”.
Establecer políticas y procedimientos para el
intercambio de información de acuerdo a lo
recomendado en la sección 3.2.5.6.19 de la descripción
de los controles para el tratamiento de los riesgos.
Ej.: No dejar información sensible o crítica en
copiadoras o impresoras.
Capacitar al personal sobre la importancia de la
privacidad de conversaciones confidenciales.
Crear una política que establezca los derechos de
propiedad intelectual que defina el uso legal del
software y de los productos de información.
Derechos de propiedad intelectual (DPI) 15.1.2
Políticas y procedimientos para el intercambio de
información 10.8.1
“Se deberían establecer políticas, procedimientos y
controles formales de intercambio para proteger la
información mediante el uso de todo tipo de servicios de
comunicación”.
Políticas y procedimientos para el intercambio de
información 10.8.1
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
379
Ausencia de
procedimientos de
identificación y
valoración de
riesgos
Vulnerabilidad
Nivel del
Riesgo
Servicios
Definir directrices de seguridad que permitan identificar
los mensajes que requieren integridad.
Ej.: Usar controles criptográficos para asegurar la
integridad del mensaje.
Integridad del mensaje 12.2.3
“Se deberían identificar los requisitos para asegurar
la autenticidad y proteger la integridad del mensaje
en las aplicaciones, así como identificar e
implementar los controles adecuados”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Aprendizaje debido a los incidentes de la seguridad
de la información 13.2.2
“Deberían existir mecanismos que permitan
cuantificar y monitorear todos los tipos, volúmenes y
costos de los incidentes de seguridad de la
información”.
Fuga de información 12.5.4
“Se deberían evitar las oportunidades para que se
produzca fuga de información”.
Definir periodos de tiempo para el almacenamiento de
registros que sirven para auditoría considerando la
información definida en la sección 3.2.5.6.27
Ej.: Registrar la fecha y hora de eventos claves.
Registro de auditorías 10.10.1
“Se deberían elaborar y mantener durante un periodo
acordado las grabaciones de los registros para auditoría
de las actividades de los usuarios, las excepciones y los
eventos de la seguridad de la información con el fin de
facilitar las investigaciones futuras y el monitoreo del
control de acceso”.
Planificar un monitoreo y gestión de riesgos periódico
dentro de la DTT para lo cual se puede utilizar el
sistema desarrollado en este proyecto.
Realizar la identificación de las vulnerabilidades
técnicas en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante
la presencia de vulnerabilidades técnicas.
Establecer un procedimiento para identificar los
mecanismos de posibles fugas de información con los
recursos actuales de la institución
Ej.: Revisar los permiso de acceso a la información que
tienen los usuarios.
Planificar monitoreos periódicos de medios removibles
que contengan información sensible.
Realizar un monitoreo periódico de las actividades del
personal en cuanto al uso a los recursos en los
sistemas de computador.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
380
Ausencia en el
Personal
Mal manejo de
cuentas de usuario
para la
autenticación de
usuarios en el
sistema LDAP
(Active Directory)
Vulnerabilidad
Moderado
Bajo
Moderado
Nivel del
Riesgo
Telefonía IP
Switching y
Routing
DNS, DHCP,
NTP
Antivirus
SICOEIR
Recursos
Compartidos
Recursos
Compartidos
Switching y
Routing
DNS, DHCP,
NTP
Servicios
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Registrar y analizar las fallas que se presentan en los
diferentes servicios a cargo de la DTT, garantizando
que se resuelven correctamente.
Registro de fallas 10.10.5
“Las fallas se deberían registrar y analizar, y se
deberían tomar las acciones adecuadas”.
Control de la vulnerabilidades técnicas 12.6.1
“Se debería obtener información oportuna sobre las
vulnerabilidades técnicas de los sistemas de
información que están en uso, evaluar la exposición
de la organización a dichas vulnerabilidades y tomar
las acciones apropiadas para tratar los riesgos
asociados”.
Realizar la identificación de las vulnerabilidades
técnicas en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante
la presencia de vulnerabilidades técnicas.
Realizar la identificación de las vulnerabilidades
técnicas en los servicios a cargo de la DTT tomando en
consideración los lineamientos de la sección 3.2.5.8.16
Ej.: Estructurar una línea de tiempo para reacción ante
la presencia de vulnerabilidades técnicas.
Recomendaciones
Controles faltantes
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT
381
382
La identificación y la comunicación de los riesgos en la seguridad de la
información se realiza mediante la presentación de las tablas de recomendaciones
para los controles a aplicarse que permiten la mitigación de los riesgos,
considerando la sugerencia de tratar las vulnerabilidades valoradas como Muy Altas,
Altas, Moderadas y Bajas para su reducción, de acuerdo a los criterios de
aceptación del riesgo definidos en la sección 2.4.1.1.1 Criterios de aceptación del
riesgo, con lo cual finaliza el desarrollo de este proyecto.
Para la fase de aceptación del riesgo es necesaria la aplicación de los
controles planteados para las diferentes vulnerabilidades por parte de la dirección
y el continuo monitoreo y revisión de los riesgos residuales, hasta llegar a un nivel
del riesgo aceptado de acuerdo a los criterios de aceptación del riesgo establecidos.
4.4. FUNCIONAMIENTO DE GOBIERNO DE TI ENFOCADO A LA
GESTIÓN DE RIESGOS EN LA SEGURIDAD DE LA
INFORMACIÓN
Al hablar de Gobierno de TI, se está asegurando que se evalúan las
necesidades, condiciones y opciones de las partes interesadas para determinar si
se alcanzan las metas y objetivos acordados. Las metas relacionadas con las TI y
los procesos de COBT 5 [4] referentes a seguridad de la información se relacionan
entre sí, y estas relaciones pueden ser definidas como Primarias cuando hay una
relación importante, y cuando todavía hay un vínculo fuerte, pero menos importante
se define como Secundaria.
A continuación, se describen los dominios en donde se clasifican los
procesos relacionados a la seguridad de la información y a la gestión de riesgos en
la seguridad de la información que tienen que ver con el Gobierno de TI y la Gestión
de TI, los procesos mencionados anteriormente son:
·
EDM 03, Asegurar la optimización del riesgo
·
APO 12, Gestionar el riesgo
·
APO 13 Gestionar la seguridad
·
DSS 05, Gestionar los servicios de seguridad
383
4.4.1. PROCESOS RELACIONADOS AL GOBIERNO DE TI
4.4.1.1. Dominio Evaluación-Orientación-Supervisión (EDM)
Dentro de este dominio se considera el proceso EDM 03 (Asegurar la
optimización del riesgo), que es uno de los cinco procesos que existen en Gobierno
de TI [4] y define prácticas de evaluación, orientación y supervisión (EDM en sus
siglas en inglés). El proceso EDM03 y la relación con los objetivos de TI se
representa en la Figura 4.2.
4.4.2. PROCESOS RELACIONADOS A LA GESTIÓN DE TI
La Gestión de TI se encarga de analizar el uso de medios (recursos,
personas, procesos, prácticas, etc.) para conseguir un fin identificado.
Es la parte fundamental para el cual, el grupo que gobierna, consigue un
resultado u objetivo.
La gestión es responsable de la ejecución y correcto funcionamiento de las
TI para la dirección establecida, dentro de la institución, llámese este grupo que
gobierna. La gestión es la parte fundamental de las actividades operacionales de
planificación, construcción, organización y control, que se alinean con la dirección
que establece el grupo que gobierna y la información sobre dichas actividades.
La Gestión de Riesgos es uno de los objetivos de Gobierno de TI, para lo
cual se requiere reconocer un riesgo, evaluar su impacto y probabilidad, y
desarrollar estrategias, como se plantea en la Norma 27005 [2].
Las actividades antes mencionadas se realizan en el desarrollo de este
proyecto en las secciones: 2.4 (Análisis de Riesgos en la Seguridad de la
Información
en
la
Dirección
Nacional
de
Desarrollo
Tecnológico
en
Telecomunicaciones), 3.3 (Tratamiento de los Riesgos en la Seguridad de la
Información presentes en la DTT aplicando los controles de la norma NTE INENISO/IEC 27002:2009) y 4.3 (Recomendaciones para los controles a aplicar en la
DTT según la norma NTE INEN-ISO/IEC 27002:2009)
Con esto se llega a la reducción de los riesgos Muy Altos, Altos y Moderados,
y a la retención de los riesgos Bajos, de acuerdo a lo establecido en los criterios de
aceptación del riesgo definidos en la sección 2.4.1.1.1. (Criterios de aceptación del
riesgo).
384
4.4.2.1. Dominio Alinear-Planificar-Organizar (APO)
Dominio basado en la estrategia, objetivos y metas institucionales, para dar
respuestas óptimas a las Tecnologías de Información. También la visión estratégica
necesita un correcto análisis que permita: ser planeada, comunicada y administrada
desde diferentes perspectivas, optimizando así la Gestión de TI, el portafolio de
proyectos, proveedores, el presupuesto asignado, el talento humano, los riegos y
la calidad, entre lo más relevante.
Los procesos tomados de este dominio son el APO12 y APO13. El proceso
APO12 y la relación con los objetivos de TI se representa en la Figura 4.3 y el
proceso APO13 y la relación con los objetivos de TI se representa en la Figura 4.4.
4.4.2.2. Dominio Entregar, Dar Servicio y Soporte (DSS)
Se refiere a la entrega de los servicios requeridos, el mantenimiento y
soporte técnico necesario, también toma en cuenta las actividades operativas
requeridas para mantener los servicios funcionando, identificar y solventar las
incidencias y problemas relacionados a estos, así como gestionar la continuidad y
seguridad de mencionados servicios. Dentro de este dominio se considera el
proceso DSS05 representado en la Figura 4.5.
Lo que se busca al implantar un Gobierno de TI, es crear una metodología
de trabajo para las buenas practicas institucionales, logrando un mejor rendimiento
y un crecimiento empresarial sustancial. Gobierno de TI se puede aplicar a toda
una empresa o a una parte de la empresa (es decir a una Dirección), este proyecto
está dirigido a la DTT, enfocado en la parte de Gestión de Riesgos de la Seguridad
de la información.
Con el análisis de las posibles vulnerabilidades de cada uno de los servicios
de la DTT y tratamiento de las mismas, se puede hacer una correcta gestión del
riesgo en la seguridad de la información, de esta manera se minimizan los riesgos
existentes y las probabilidades de nuevos riesgos, logrando un mejor desempeño
en la institución. La norma 27005 [2] realiza la gestión de riesgos en la seguridad
de la información en sus fases: Establecimiento del contexto, Análisis del riesgo,
Evaluación del riesgo, Tratamiento del riesgo, descritas en la sección 1.5
(ANÁLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012).
Figura 4.2. Proceso EDM03 y sus objetivos relacionados con Ti
385
385
Figura 4.3. Proceso APO12 y sus objetivos relacionados con TI
386
386
Figura 4.4. Proceso APO13 y sus objetivos relacionados con TI
387
Figura 4.5. Proceso DSS05 y sus objetivos relacionados con TI
388
388
389
Una vez que se establezcan las políticas y procedimientos de seguridad,
recomendadas para el cumplimiento de ciertos controles en la sección 4.3
(Recomendaciones para los controles a aplicar en la DTT según la norma NTE
INEN-ISO/IEC 27002:2009), éstos se deben cumplir en su totalidad, con la finalidad
de que todos los funcionarios de la institución tengan una metodología de trabajo
correcta, haciendo que el funcionamiento de estas políticas sea eficaz. Para el
cumplimiento de todas estas normativas se considera que es necesaria la creación
de un área que estará encargada de:
·
Cumplimiento del negocio, de las leyes y regulaciones externas
relacionadas a la seguridad de la información, riesgos de negocio
relacionados con las TI gestionadas y transparencia de los costes,
beneficios y riesgos de las TI
·
Infraestructura de procesamiento y aplicaciones, y disponibilidad de
información útil y relevante para la toma de decisiones
·
Entrega de servicios de TI de acuerdo a los requisitos del negocio y
uso adecuado de aplicaciones, información y soluciones tecnológicas
Una vez creada el área que se encargará de verificar el cumplimiento de las
políticas y procedimientos, el Director de la DTT deberá hacer un análisis periódico,
para saber cómo fueron atendidos todos los requerimientos del personal de la
Institución, y se obtendrá como resultado la eficacia o deficiencia de los dominios
de TI con los que se está trabajando.
Después de haber hecho la gestión de riesgos en la seguridad de la
información, de haber analizado cada uno de los servicios con sus posibles
vulnerabilidades, y de haber propuesto un tratamiento a dichos riesgos mediante la
aplicación de controles de la Norma 27002 [6], lo que se deberá hacer es una nueva
evaluación de los riesgos analizados para verificar la eficacia de los controles
aplicados, y confirmar que se hayan producido mejoras que aseguren una óptima
metodología de trabajo.
390
5.CAPÍTULO 5
CONCLUSIONES Y RECOMENDACIONES
5.1. CONCLUSIONES
·
Gobierno de TI es una metodología de trabajo para las buenas
prácticas institucionales, para lo cual COBIT 5 planteas procesos que
ayudan a evaluar las necesidades, condiciones y otras opciones que
le permitan alcanzar a la DTT sus metas y objetivos de TI.
·
COBIT 5 enuncia, dentro de todos sus procesos, cuatro procesos
relacionados a seguridad de la información y a la gestión de riesgos en
la seguridad de la información que son: EDM03 (Asegurar la
optimización del riesgo), APO12 (Gestionar el riesgo), APO13
(Gestionar la seguridad) y DSS05 (Gestionar los servicios de
seguridad), logrado un mejor rendimiento empresarial.
·
El diseño de este Sistema de Gestión de Riesgos en la Seguridad de
la Información para la DTT toma como referencia lo relacionado a
seguridad de la información de COBIT 5, en donde se recomienda la
utilización de las normas 27000, por lo que se trabaja específicamente
con la norma NTE INEN-ISO/IEC 27005:2012, que trata la Gestión del
Riesgo en la Seguridad de la Información.
·
Este Sistema de Gestión de Riesgos en la Seguridad de la Información,
basado en la Norma NTE INEN-ISO/IEC 27005: 2012 , ayuda a la DTT
en lo relacionado a la seguridad de la información, ya que al ser parte
de una Institución del Estado debe cumplir con los máximos estándares
de Seguridad en la Información.
·
Las Normas NTE INEN-ISO/IEC 27001:2011 y NTE INEN-ISO/IEC
27002:2009 son importantes porque ayudan a la comprensión de la
Norma NTE INEN-ISO/IEC 27005:2012, proporcionando conceptos,
modelos, procesos y terminologías usadas en este conjunto de normas.
391
·
La norma NTE INEN-ISO/IEC 27001:2011 trabaja con todo lo
relacionado a un Sistema de Gestión de Seguridad de la Información
(SGSI), y por medio de esta norma se certifican los SGSI de las
organizaciones por auditores externos; dentro de esta norma se
plantea la Gestión del Riesgo en la Seguridad de la Información, que
es tratada de forma específica en la Norma NTE INEN-ISO/IEC
27005:2012 y es el objetivo de este proyecto.
·
La norma 27002 da directrices para la minimización de riesgos de
acuerdo al análisis de las vulnerabilidades encontradas en los
diferentes servicios de la DTT, planteando controles que garanticen
minimizar los riesgos hasta un nivel aceptable.
·
La Norma NTE INEN-ISO/IEC 27005: 2012 es una guía para la gestión
de riesgos en la seguridad de la información mediante los procesos de:
establecimiento del contexto, valoración del riesgo, tratamiento del
riesgo y aceptación del riesgo, que forma parte de la fase Planificar del
SGSI de la Norma NTE INEN-ISO/IEC 27001:2011.
·
La clasificación de activos se realizó de acuerdo a lo establecido en la
Norma NTE INEN-ISO/IEC 27002:2009, que plantea activos: de
información, físicos, de software y de servicios, que permite hacer un
análisis más adecuado para cada tipo de servicio, ya que tendrán
vulnerabilidades relacionadas entre sí.
·
Se hace una descripción detallada del Centro de Cómputo principal de
la SUPERTEL en la sección 2.2.1.3, porque es donde se encuentran
todos los equipos principales de comunicaciones y resguardo de la
información, y a su vez tiene conexiones a las demás dependencias de
la Institución. Este Centro de Cómputo es administrado por un
funcionario de la DTT.
·
Para el establecimiento del contexto se analizaron todos los activos,
previamente clasificados, utilizando un enfoque cualitativo, y usando
una matriz que se forma de combinar la probabilidad de que ocurra una
amenaza con la magnitud del daño de dicha amenaza, para lo cual se
asignó un valor numérico que permita obtener resultados más
aproximados a la realidad.
392
·
La norma NTE INEN-ISO/IEC 27005:2012 contiene anexos que
facilitan el proceso de gestión de los riesgos en la seguridad de la
información, ya que detalla la información que se necesita para este
proceso y permite organizar la información de forma que sea más
comprensible y objetiva para cada etapa de la gestión del riesgo en la
seguridad de la información.
·
Para la valoración del riesgo se establecieron diferentes criterios
básicos que son: criterios de probabilidad de ocurrencia de las
vulnerabilidades, criterios de impacto de acuerdo al tiempo que el
servicio se encuentra sin funcionamiento y de acuerdo a la pérdida de
información que pueda producirse por la caída del servicio, criterios de
evaluación del riesgo y criterios de aceptación del riesgo, los cuales
permiten realizar la evaluación de riesgos.
·
Para establecer qué criterios básicos son los necesarios para realizar
la evaluación de riesgos, se consideraron aspectos como: la
probabilidad de que se presente una vulnerabilidad porque permite
definir con qué frecuencia se verá afectado un servicio por esa
vulnerabilidad, el tiempo sin funcionamiento de un servicio y el
porcentaje de pérdida de información que pueda darse en un servicio
si deja de funcionar, porque permiten establecer la rapidez con la que
deberán actuar los controles.
·
La definición de los diferentes niveles de probabilidad de ocurrencia de
vulnerabilidades, tiempos sin funcionamiento de los servicios y
porcentaje de pérdida de información en caso de caída de servicios se
realizó considerando los procedimientos que se manejan en la DTT y
la información recolectada de cada uno de los servicios por medio de
entrevistas a cada funcionario de esta Dirección.
·
Las metodologías para la estimación del riesgo pueden ser
cuantitativas, cualitativas o una combinación de las anteriores, para
nuestro análisis se empleó una metodología cualitativa que permite ver
de forma menos compleja el nivel de los riesgos en la seguridad de la
información, haciendo que sea de fácil comprensión para el personal
pertinente.
393
·
La Norma NTE INEN-ISO/IEC 27005:2012 establece cuatro formas de
tratamiento del riesgo en la seguridad de la información: reducción del
riesgo, retención del riesgo, evitación del riesgo y transferencia del
riesgo; en el desarrollo de este proyecto se realiza la reducción y
retención de los riesgos, no se plantea la evitación de riesgos, debido
a que esta actividad implica análisis de costos, lo cual está fuera del
alcance de este proyecto; en caso de plantearse la trasferencia de
riesgos, se lo hará considerando los controles necesarios para
minimizar las vulnerabilidades de dicho servicio.
·
Se plantean los controles necesarios para mitigar todas las
vulnerabilidades que afecten a un servicio, pero se considera de mayor
importancia la aplicación de controles para las vulnerabilidades que
produzcan riesgos valorados como Muy Altos, Altos, Moderados y
Bajos, porque se busca que el riesgo sea reducido o mitigado, de
acuerdo a los criterios de aceptación del riesgo.
·
De acuerdo a los controles planteados en la Norma NTE INEN-ISO/IEC
27002:2009 y del análisis realizado a la situación actual de la DTT, se
clasificaron estos controles en: controles existentes en los servicios de
la DTT, que en algunos casos necesitan mejorarse, y controles
faltantes que no existen en la DTT pero que son necesarios para el
tratamiento de los riesgos en la seguridad de la información.
·
Las recomendaciones planteadas en el capítulo 4 orientan en la
aplicación de los controles faltantes y mejora de controles que
actualmente son utilizados en la DTT, con la finalidad de que la
aplicación de los controles sea la adecuada y de acuerdo a la realidad
de la DTT, y que se tenga la mayor mitigación posible de los riesgos.
5.2. RECOMENDACIONES
·
Al tener Centros de Cómputo de respaldo, se recomienda que se
planifique contar con capacidad de almacenamiento similar a la del
Centro de Cómputo principal para el respaldo de todos los servicios,
394
en un lugar alejado de la ubicación del Centro de Cómputo principal,
para evitar que los servicios queden sin funcionamiento por un tiempo
considerable.
·
En la etapa de planificación de procesos y proyectos se deben
considerar aspectos relacionados con la seguridad de la información
que serán necesarios para evitar riesgos en la seguridad de la
información, permitiendo que en el desarrollo de estos proyecto la
presencia de riesgos en la seguridad de la información sea la mínima.
·
Para los módulos desarrollados en el proyecto SICOEIR, se debe
establecer una priorización que permita tener mayor control, tanto de
la información que ingresa como la que sale, para definir de mejor
manera los controles que serán necesarios para mitigar los riesgos que
puedan presentarse en estos módulos.
·
Se observa la necesidad de aplicar inmediatamente los controles
propuestos para las vulnerabilidades relacionadas al mantenimiento de
los servicios de apoyo del Centro de Cómputo, puesto que es de suma
importancia que su funcionamiento sea el más adecuado.
·
Se debe verificar el cumplimiento de controles relacionadas al control
de acceso, principalmente al Centro de Cómputo, considerando
actividades como registro de personal ajeno a la institución que ingresa
al Centro de Cómputo, las actividades que se realicen, entre otros.
·
Se recomienda una administración adecuada de la información que
manejan de funcionarios que salen de la institución, con el propósito
de que la información quede organizada de la mejor manera posible y
que facilite su utilización.
·
Las capacitaciones a los funcionarios de la Institución que se platean
como necesarias para la Gestión de Riesgos en la Seguridad de la
Información, deben ser aplicadas y evaluadas periódicamente, para
garantizar que el personal crea conciencia sobre aspectos de
seguridad.
395
REFERENCIAS BIBLIOGRÁFICAS
[1] W. Stallings, Network Security Essentials, Aplications and Standards, Prentice
Hall, 2011.
[2] INEN-ISO/IEC, NTE INEN-ISO/IEC 27005:2012 - TECNOLOGÍA DE LA
INFORMACIÓN-TÉCNICAS DE SEGURIDAD-GESTIÓN DEL RIESGO EN LA
SEGURIDAD DE LA INFORMACIÓN, Quito, 2012.
[3] A. S. Tanenbaum, Redes de Computadoras, Prentice Hall, 2003.
[4] ISACA, COBIT 5, Un Marco de Negocio para el Gobierno y la Gestión de las
TI de la Empresa, Rolling Meadows, 2012.
[5] INEN-ISO/IEC, NTE INEN-ISO/IEC 27001:2011 - TECNOLOGÍA DE LA
INFORMACIÓN-TÉCNICAS DE SEGURIDAD-SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (SGSI)-REQUISITOS, Quito, 2011.
[6] INEN ISO/IEC, NTE INEN-ISO/IEC 27002:2009 - TECNOLOGÍA DE LA
INFORMACIÓN-TÉCNICAS DE LA SEGURIDAD-CÓDIGO DE PRÁCTICA
PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, Quito, 2009.
[7] NIST,
«System
Security
Engineering,»
[En
línea].
Available:
http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf.
[Último
acceso: Julio 2014].
[8] IEC/FDIS, «Risk management - Risk assessment techniques IEC/FDIS
31010,» 2009. [En línea]. Available: http://www.previ.be/pdf/31010_FDIS.pdf.
[Último acceso: Julio 2014].
[9] Superintendencia de Banca, Seguros y AFP - República del Perú, «Basilea II
y
Basilea
III,»
[En
línea].
Available:
http://www.sbs.gob.pe/0/modulos/JER/JER_Interna.aspx?PFL=0&JER=1075.
[Último acceso: Julio 2014].
[10] Security Standars Council, «PCI DSS Data Security Standards,» [En línea].
Available: https://www.pcisecuritystandards.org/security_standards/. [Último
acceso: Julio 2014].
396
[11] SUPERTEL, «ESTATUTO ORGÁNICO DE GESTIÓN ORGANIZACIONAL
POR PROCESOS,» Quito, 2013.
[12] SUPERTEL, [En línea]. Available: www.supertel.gob.ec/intranet. [Último
acceso: Junio 2014].
[13] SUPERTEL, «PLAN OPERATIVO ANUAL 2014,» Quito, 2014.
[14] SUPERTEL,
«“INFORME
DE
RESULTADOS
DE
LA
EVALUACIÓN
REALIZADA AL MODELO DE GOBIERNO DE TI ACTUAL DE LA DTT",»
Quito, 2013.