Академический Документы
Профессиональный Документы
Культура Документы
SEDE GUAYAQUIL
TESIS DE GRADO
Autores:
Sr. Daniel Romo Villafuerte
Sr. Joffre Valarezo Constante
Director de Tesis:
Ing. Javier Ortiz
GUAYAQUIL ECUADOR
2012
DECLARACIN EXPRESA
_________________________
__________________________
II
DEDICATORIA
Y en especial a mi hija Bianca Romo Pinto y esposa por demostrarme siempre que
son mi fuerza para superar todos los obstculos y salir adelante por ellas.
III
DEDICATORIA
A mi familia, pues con sus enseanzas, buenas decisiones y sobre todo amor han
ayudado en mi crecimiento como persona y profesional.
Y en especial a mi hijo Jos Ricardo y esposa por su constancia, dedicacin y
sacrificio.
IV
AGRADECIMIENTO
En primer lugar quiero dar gracias a Dios por haber guiado mi camino, por
bendecirme para llegar a esta etapa de mi vida y hacer realidad este sueo tan
anhelado; en segundo lugar a cada uno de mi familia a mi PADRE, mi MADRE, a
mi ESPOSA e HIJA los cuales siempre me alentaron para seguir adelante y terminar
esta etapa.
AGRADECIMIENTO
Quiero agradecer a mis padres, hermanos, esposa e hijo que con su apoyo, confianza,
motivacin de terminar esta carrera, han dejado una palabra ms en este proyecto y
nunca dejaron de estar pendientes en el desarrollo de mi carrera.
De igual manera agradezco a los profesores, directores de carrera y a la Universidad
Politcnica Salesiana por brindarme la oportunidad de aprender y de compartir
experiencias, casos prcticos y profesores totalmente preparados, lo cual hace que
tengamos un excelente nivel acadmico y podamos mejorar la situacin actual de
nuestro pas.
VI
RESUMEN
VII
NDICE GENERAL
ndice Inicial
Declaracin Expresa................................................................................................ II
Dedicatorias............................................................................................................III
Agradecimientos ..................................................................................................... V
Resumen ............................................................................................................... VII
ndice General ..................................................................................................... VIII
ndice de Cuadros ................................................................................................ XII
ndice de Grficos .............................................................................................. XIII
Contenido
1.
1.1.
1.2.
1.3.
Justificacin. .............................................................................................. 2
1.4.
Objetivos ................................................................................................... 3
1.4.1.
1.4.2.
Objetivos especficos................................................................................. 4
1.5.
1.5.1.
Informacin ............................................................................................... 4
1.5.2.
1.5.3.
1.5.4.
1.5.5.
1.5.6.
VIII
1.5.7.
1.5.8.
1.5.9.
1.7.
Hiptesis. ................................................................................................. 26
1.7.1.
1.7.2.
1.8.
Variables.................................................................................................. 26
1.8.1.
1.8.2.
1.9.
1.10.
1.11.
IX
2.
ANLISIS,
PRESENTACIN
DE
RESULTADOS
DIGNOSTICOS. ................................................................................................. 32
2.1.
2.2.
2.3.
2.4.
2.4.1.
Organigrama ............................................................................................ 35
2.4.2.
de Informacin. ...................................................................................................... 36
2.4.3.
Misin...................................................................................................... 40
2.4.4.
Visin ...................................................................................................... 40
2.5.
Diagnstico.............................................................................................. 41
2.5.1.
3.
3.1.
3.2.
3.2.1.
3.2.2.
3.2.3.
3.2.4.
3.2.5.
3.2.6.
3.2.7.
3.2.8.
3.2.9.
4.1.
4.2.
XI
NDICE DE CUADROS
XII
NDICE DE GRFICOS
XIII
CAPITULO 1
1. ASPECTOS GENERALES
Una de las maneras de reducir los riesgos que estn afectando a los activos
es de la elaboracin de normas, polticas y concientizacin a los usuarios,
basados en norma de buenas prcticas de seguridad para reducir la
probabilidad de ocurrencia de un impacto de los riesgos que estn expuestos
los activos de informacin de la Universidad Politcnica Salesiana.
1.3. Justificacin.
Otras de las razones por las que creemos conveniente el desarrollo de este
proyecto es el creciente avance de la tecnologa y software en nuestro pas
as como tambin el avance en formas y manas de las amenazas que nuestro
activo ms valioso la Informacin.
1.4. Objetivos
1.5.1. Informacin
National Information Systems Security (INFOSEC) Glossary, NSTISSI No. 4009, January 2000
Grfico #1
Amenazas para la Seguridad
Grfico #2
Tipos de ataques a activos
Grfico #3
Punto de equilibrio costo seguridad
Adems de los riesgos fsicos, tambin nos encontramos con los riesgos
lgicos relacionados con la tecnologa y, que como se cit anteriormente
aumentan da a da, estos pueden ser hackers, robos de identidad, accesos no
autorizados, spam, virus, robos de informacin y espionaje industrial, estos
afectan directamente con la confidencialidad que la organizacin transmite a
sus clientes y al verse comprometida la confidencialidad afecta a nuestra
imagen en el mercado.
Disponibilidad.
Integridad.
Confidencialidad.
Grfico #4
Pilares Fundamentales de la Seguridad de la Informacin.
10
11
12
13
Nota: Estos controles estn diseados para que sean adaptables a las
organizaciones y en los diferentes ambientes.
14
15
16
17
18
1.5.16. Dominios
Cada dominio contiene un nmero de dominios de seguridad. Estos
11 dominios son: 5
5 ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002. Direccin URL: http://iso27002.wiki.zoho.com
19
Grfico #5
20
Por ltimo, pero no por ello menos importante, la certificacin del sistema
de gestin de seguridad de la informacin contribuye a mejorar la
competitividad en el mercado, diferenciando a las empresas que lo han
conseguido y hacindoles ms fiables e incrementando su prestigio.
21
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
Auditoria: Examinar de forma independiente los logs del sistema y
actividades para comprobar la eficiencia y controlar la integridad de los datos.
Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que
los utilicen, cumplan con los niveles de autorizacin correspondientes para su
utilizacin y divulgacin.
22
ISO:
International
Organization
for
Standardization,
Organizacin
Internacional de Estandarizacin.
23
24
25
1.7. Hiptesis.
1.7.1. Hiptesis General.
El no tener implementadas normas internacionales de seguridad de la
informacin
para
la
Universidad
Politcnica
Salesiana
sede
1.8. Variables.
1.8.1. Variables Dependientes.
Riesgos de prdidas econmicas.
Fuga de informacin.
1.8.2. Variables Independientes.
No tener implementadas normas internacionales de seguridad de
la informacin.
26
Objetivo General
Qu normas de seguridad se
Impedir
internacionales de seguridad de la
Politcnica
informacin para la
los
la
disponibilidad,
de informacin?
Salesiana
sede
integridad
accesos
estndares
no
Hiptesis general
de
autorizados
seguridad
de
Universidad
de
la
Universidad
Politcnica Salesiana.
Sistematizacin del
Objetivo especifico
Hiptesis especifica
Qu consecuencias ocasionan
en la
tambin
la
disponibilidad de la informacin. El
problema
Universidad Politcnica
servir
para
garantizar
Promover
de
Proporcionar informacin ms de la
informacin
sistemas de informacin.
desarrollados
las
mejores
prcticas
adquiridos?
Cmo
podra
la
Seguridad de la Informacin
polticas
que
de informacin.
activos de informacin.
se
Universidad
mejorar
manejan
en
la
Politcnica
27
de
Seguridad
de
la
6
7
28
Check list:
Entrevistas Locales:
30
Revisin de Documentacin:
31
CAPITULO 2
32
Tabla #2
FORTALEZAS
Es un estndar
adoptado en Ecuador
como NTE ISO/IEC
27002:2009
OPORTUNIDADES
DEBILIDADES
AMENZAS
Es una norma
Es una norma
internacional y por
eso se la puede
aplicar para cualquier
institucin.
En los objetivos de
conceptual, no se
control no se
tienen las
contempla la
herramientas
trazabilidad.
puntuales para su
implementacin.
Para la
Cada control tiene su
gua de
implementacin para
una fcil visin
implementacin de
los controles no se
No es una gua
madura para el
anlisis de riesgos.
Fcil adaptacin
para cada
organizacin.
Gua para mejorar la
seguridad de la
informacin.
33
Esta norma no es
certificable.
Grfico #6
Presencia salesiana
34
2.4.1. Organigrama
Grfico #7
Organigrama
35
Tabla #3
Descripcin de funciones del Director Tcnico de TI.
Fuente: Universidad Politcnica Salesiana Sistemas
DIRECTOR TCNICO DE
TECNOLOGAS DE LA
INFORMACIN.
Objetivo:
Coordinar las actividades referentes a TI en
la Sede.
Responsabilidades:
1. Elaboracin y seguimiento del Plan Operativo del Departamento.
2. Participar en la planeacin estratgica de la sede.
3. Asesora tecnolgica para la adecuada adquisicin del hardware y software.
4. Asesora informtica para el adecuado uso del hardware y software de la sede.
5. Corresponsable del plan de adquisiciones de la sede.
6. Realizar documentacin informtica de acuerdo a los estndares de la industria en
conjunto con los responsables de reas locales y/o nacionales.
7. Dar seguimiento a las labores de las reas de redes, hardware y soporte a usuarios, as
como la reasignacin de tareas, temporal o definitivamente, acorde con las necesidades de la
sede.
8. Proponer mejoras a los actuales procesos internos de la sede, temporales o definitivos, en
donde el rea informtica estuviere involucrada.
9. Seguimiento al proyecto del repositorio de datos.
10. Colaborar con el plan de capacitacin del rea de TI, acorde a las necesidades de la
sede.
11. Cumplir con las dems funciones que le sean asignadas por el Vicerrector.
36
Tabla #4
Objetivo:
Brindar soporte a nivel de aplicaciones de
ASISTENTE DE SOPORTE.
Tabla #5
Objetivo:
Garantizar el correcto funcionamiento del
ASISTENTE DE MANTENIMIENTO.
Responsabilidades:
1. Instalar y mantener el software y hardware
2. Supervisar, actualizar y controlar el inventario de software y hardware
3. Dar soporte a usuarios en el uso de herramientas informticas
4. Elaborar y ejecutar planes de mantenimiento preventivo de hardware y software.
5. Otras funciones asignadas por el Coordinador de Tecnologas de Informacin.
6. Atender el Call Center de soporte.
Tabla #6
37
Objetivo:
ASISTENTE DE INFRAESTRUCTURA
Y REDES.
Responsabilidades:
1. Participar en la planificacin, polticas y especificaciones tcnicas de la infraestructura
tecnolgica de la Universidad Politcnica Salesiana.
2. Instalar, administrar, monitorear y mantener la Infraestructura de Servidores y redes de
comunicacin de la Sedes.
3. Administrar y mantener operativos los servicios de servidores y la infraestructura de
comunicaciones de la Sede.
4. Custodiar el inventario de infraestructura de servidores, hardware y software.
5. Cumplir los planes de mantenimiento preventivo, correctivo y de contingencia de la
infraestructura tecnolgica.
6. Elaborar y Mantener actualizada la informacin relacionada a la infraestructura de
servidores y redes de comunicaciones.
7. Ejecutar el respaldo de informacin de servidores de acuerdo al reglamento e instructivos
de respaldo de informacin.
8. Investigar e implementar nuevas tecnologas informticas.
9. Implementar seguridad a nivel de sistemas operativos.
10. Cumplir con las dems funciones que le sean asignadas.
38
Tabla #7
Objetivo:
Ayudar en el soporte a usuario final en las
TCNICO DE SOPORTE.
Responsabilidades:
1. Apoyar a los usuarios finales in-situ en la utilizacin de las aplicaciones acadmicas,
administrativas y de ofimtica.
Tabla #8
Objetivo:
TCNICO DE INFRAESTRUCTURA Y
REDES.
Dar
soporte
efectivo
de
comunicaciones en la sede.
Responsabilidades:
1. Instalar y/o supervisar la instalacin y funcionamiento de la red informtica
2. Las dems funciones que el Asistente de infraestructura y Redes le asigne.
39
redes
Tabla #9
Objetivo:
TCNICO DE MANTENIMIENTO.
Responsabilidades:
1. Instalar y mantener el software y hardware en las unidades departamentales
2. Realizar el levantamiento del inventario de software y hardware de la sede
3. Dar soporte a usuarios en el uso de herramientas informticas
4. Ejecutar planes de mantenimiento preventivo de hardware y software
5. Otras funciones asignadas por el Asistente de Soporte y Mantenimiento.
2.4.3. Misin
2.4.4. Visin
40
2.5. Diagnstico
2.5.1. Anlisis de las encuestas
NO ( * )
NO ( * )
NO ( * )
41
La
Universidad
NO ( * )
Politcnica
Salesiana
ha
contratado
un
NO ( * )
NO ( * )
NO (
NO (
El
inventario
de
activos
informticos
se
peridicamente?
SI ( * )
NO (
42
lo
actualiza
NO (
NO ( * )
NO (
NO (
NO (
NO ( * )
43
NO ( * )
NO ( * )
NO (
NO ( * )
Control de acceso
NO (
44
NO (
NO ( * )
NO (
NO ( * )
NO ( * )
NO (
45
NO (
NO (
NO (
NO (
La
Universidad
Politcnica
Salesiana
cuenta
con
un
NO ( * )
NO ( * )
46
NO ( * )
NO ( * )
NO ( * )
NO ( * )
NO ( * )
NO (
47
NO ( * )
NO ( * )
NO (
48
CAPITULO 3
3.1.
49
3.2.
Control
Se debe definir claramente todas las responsabilidades en cuanto a
seguridad de la informacin.10
10
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
50
Las reas de TI, una vez recibido los requerimientos de las diferentes
reas tcnicas o administrativas; analizarn, disearn y desarrollarn
los programas necesarios para la gestin.
Servicios institucionales
Se
evidencia
que
no
se
cuentan
con
segregacin
51
de
Control
La poltica de seguridad debe ser revisada en intervalos planificados
o si cambios significantes ocurren con el fin de asegurar su uso
continuo, adecuacin y efectividad.11
ORGANIZACIN INTERNA
Control
La gerencia debe apoyar activamente en la seguridad dentro de la
organizacin a travs de direcciones claras demostrando compromisos,
asignaciones explicitas y reconocimiento de las responsabilidades de la
seguridad de la informacin.12
11
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
12
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
52
Control
La informacin de las actividades de seguridad deben ser
coordinadas por representantes de diferentes partes de la organizacin
con roles relevante y funciones de trabajo.13
13
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
53
Control
Se debe definir claramente todas las responsabilidades en cuanto a
seguridad de la informacin.14
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
54
Control
Debera establecerse un proceso de autorizacin para la gestin de
cada nuevo recurso de tratamiento de la informacin.15
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
55
Control
Se debe identificar y revisar con regularidad los requisitos de
confidencialidad o los acuerdos de no-divulgacin que reflejan las
necesidades
de
la
organizacin
para
la
proteccin
de
la
informacin.16
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
56
Control
Deben ser mantenidos contactos apropiados con autoridades
relevantes.17
Control
Guayaquil.
Control
Se debe de mantener los contactos apropiados con grupos de inters
especiales, otros foros especializados en seguridad de la informacin, y
asociaciones de profesionales.18
17
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
57
Control
Guayaquil.
Control
El alcance de la organizacin para gestionar la seguridad de
informacin y su implementacin (objetivos de control, controles,
polticas, procesos y procedimientos para seguridad de informacin)
deben ser revisados independientemente en intervalos planificados o
cuando cambios significativos a la puesta en marcha de la seguridad
ocurran.19
1. Verificar
si
implementacin
existen
de
intervalos
nuevos
de
proyectos
planificacin
para
para
la
salvaguardar
la
informacin.
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
19
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
58
TERCEROS
Control
Se deben identificar los riesgos para la informacin y los servicios de
procesamiento de informacin de la organizacin de los procesos del
negocio que involucran partes externas e implementar los controles
apropiados antes de autorizar el acceso.20
20
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com>
59
Contrato.
Propuesta
de
Estructura
Orgnica
Funcional
de
60
Control
Todos los requisitos identificados de seguridad deben ser anexados
antes de dar a los clientes acceso a la informacin o a los activo de la
organizacin.21
Control
Los acuerdos con terceras partes que implican el acceso, proceso,
comunicacin o gestin de la informacin de la organizacin o de las
instalaciones de procesamiento de informacin o la adicin
de
21
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com>
22
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com>
61
3. Detalle
que
procedimientos
se
utilizaran
para
proteger
la
62
6. Acuerdos de confidencialidad.
63
64
Control
Todos los activos deben ser claramente identificados y se deben
elaborar y mantener un inventario de todos los activos importantes.23
inventarios de
activos de la informacin.
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
65
soportes
de
informacin
que
son
dispositivos
de
almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.
Ficha_amenazas_activos
66
Control
Toda la informacin y los activos asociados con el proceso de
informacin deben ser posedos por una parte designada de la
organizacin.24
No
existen
responsabilidades,
no
est
documentada
las
24
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
67
Control
Las reglas para un uso aceptable de la informacin y de los activos
asociados con las instalaciones del procesamiento de la informacin
deben ser identificadas, documentadas e implementadas.25
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
68
69
CLASIFICACIN DE LA INFORMACIN
Control
La informacin debera clasificarse en funcin de su valor, requisitos
legales, sensibilidad y criticidad para la organizacin.26
26
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
70
Control
Es importante definir un conjunto adecuado de procedimientos para
marcar y tratar la informacin de acuerdo con el esquema de
clasificacin adoptado por la organizacin.27
27
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
71
Informe de gestin.
Proceso y registro de Capacitacin.
Correos Masivos.
Colas de Impresin.
Control
Las funciones y responsabilidades de los empleados, contratistas y
terceros deben ser definidas y documentadas en concordancia con la
poltica de seguridad de la organizacin.28
28
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
72
Control
Se deben llevar listas de verificaciones anteriores de todos los
candidatos para empleo, contratistas y terceros en concordancia con
las leyes, regulaciones y la tica, al igual que proporcionalmente a los
requisitos del negocio, la clasificacin de la informacin a ser acezada
y los riesgos percibidos.29
Control
Como parte de su obligacin contractual, empleados, contratista y
terceros deben aceptar y firmar los trminos y condiciones del contrato
de empleo el cual establecer sus obligaciones y las obligaciones de la
organizacin para la seguridad de informacin.30
DURANTE EL EMPLEO
Control
29
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
30
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
73
Control
Todos los empleados de la organizacin y donde sea relevante,
contratistas y usuarios de terceros deben recibir entrenamiento
apropiado del conocimiento y actualizaciones regulares en polticas y
procedimientos organizacionales como sean relevantes para la funcin
de su trabajo.32
Control
31
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
32
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
74
Control
Las responsabilidades para realizar la finalizacin de un empleo o el
cambio de este deben ser claramente definidas y asignadas. 34
Control
Todos los empleados, contratistas y terceros deben retornar todos los
activos de la organizacin que estn en su posesin hasta la
finalizacin de su empleo, contratista o acuerdo.35
33
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
34
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
35
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
75
Control
Los derechos de acceso para todos los empleados, contratistas o
usuarios de terceros a la informacin y a las instalaciones del
procesamiento de informacin deben ser removidos hasta la
culminacin del empleado, contratista o acuerdo, o debe ser ajustada
en caso de cambio.36
REAS SEGURAS
Control
Los permetros de seguridad (como paredes, tarjetas de control de
entrada a puertas o un puesto manual de recepcin) deben ser usados
36
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
76
37
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
77
Control
Las reas de seguridad deberan estar protegidas por controles de
entrada adecuados que aseguren el permiso de acceso slo al personal
autorizado. 38
Actualmente para el ingreso al rea de caja solo existe la puerta del rea
que no siempre permanece con seguro.
3. Cada visitante que se dirija a todas las reas debe estar identificado.
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
78
Control
La seguridad fsica para oficinas, despachos y recursos debe ser
asignados y aplicada. 39
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
79
Control
Se debe designar y aplicar proteccin fsica del fuego, inundacin,
terremoto, explosin, malestar civil y otras formas de desastres natural
o humana.40
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
80
Control
Se debera disear y aplicar proteccin fsica y pautas para trabajar
en reas seguras. 41
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
81
Control
Se deberan controlar las areas de carga y descarga, y si es posible,
aislarse de los recursos de tratamiento de informacin para evitar
acceso no autorizado. 42
1. Hacer tour por cada piso para ver si hay acceso para algo adicional,
alguna puerta abierta donde este alguna computadora apagada.
42
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
82
Control
El equipo debera situarse y protegerse para reducir el riesgo de
amenazas del entorno, as como las oportunidades de accesos no
autorizados. 43
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
83
Control
Se deberan proteger los equipos contra fallos de energa u otras
anomalas elctricas en los equipos de apoyo. 44
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
84
Actualmente
no
existen
polticas
de
seguridad
referente
Control
Se deberan proteger contra intercepciones o daos el cableado de
energa y telecomunicaciones que transporten datos o soporten
servicios de informacin. 45
Control
Los equipos deberan mantenerse adecuadamente para asegurar su
continua disponibilidad e integridad. 46
45
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
46
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
86
1. Verificar que tipo de acuerdo hay con los proveedores con respecto a
los mantenimientos.
87
Control
Se debe aplicar seguridad a los equipos que se encuentran fuera de
los locales de la organizacin tomando en cuenta los diversos riesgos a
los que se est expuesto. 47
Actualmente no existen
47
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
88
Control
Todos los elementos del equipo que contengan dispositivos de
almacenamiento deben ser revisados con el fin de asegurar que
cualquier dato sensible y software con licencia haya sido removido o
sobrescrito con seguridad antes de la eliminacin. 48
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
89
Control
El equipo, informacin o software no debe ser sacado fuera del local
sin autorizacin. 49
RESPONSABILIDADES
PROCEDIMIENTOS
DE
OPERACIN
Control
49
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
90
50
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
91
Control
Se deberan controlar los cambios en los sistemas y recursos de
tratamiento de informacin. 51
Control
Se deberan segregar las tareas y las reas de responsabilidad con el
fin de reducir las oportunidades de una modificacin no autorizada o
no intencional, o el de un mal uso de los activos de la organizacin. 52
51
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
52
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
92
Control
La separacin de los recursos para desarrollo, prueba y produccin
es importante para reducir los riesgos de un acceso no autorizado o de
cambios al sistema operacional. 53
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
93
GESTIN
DE
LA
PROVISIN
DE
SERVICIOS
POR
TERCEROS.
Control
Debemos asegurarnos que todos los controles de seguridad,
definiciones de servicios y niveles de entregas incluidas en el acuerdo
de entrega de servicio externo sean implementados, operados. 54
54
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
94
Control
Los servicios, reportes y registros provistos por terceros deben ser
monitoreados y revisados regularmente, y las auditorias deben ser
llevadas a cabo regularmente. 55
Control
Los cambios en la provisin del servicio, incluyendo mantenimiento y
mejoras en las polticas de seguridad de informacin existentes, en los
procedimientos y los controles se deberan gestionar teniendo en
cuenta la importancia de los sistemas y procesos del negocio
involucrados, as como la reevaluacin de los riesgos. 56
55
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
56
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
95
Control
El uso de recursos deben ser monitoreados y las proyecciones hechas
de requisitos de capacidad adecuadas futuras para asegurar el sistema
de funcionamiento requerido. 57
57
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
96
Control
Se deberan establecer criterios de aceptacin para nuevos sistemas
de informacin y versiones nuevas o mejoras y se deberan desarrollar
con ellos las pruebas adecuadas antes de su aceptacin. 58
58
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
97
Importante:
PROTECCIN
CONTRA
EL
CDIGO
MALICIOSO
DESCARGABLE.
Control
Se deberan implementar controles para detectar el software
malicioso y prevenirse contra l, junto a procedimientos adecuados
para concientizar a los usuarios. 59
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
98
Control
Donde el uso de cdigo mvil es autorizado, la configuracin debe
asegurar que dicho cdigo mvil opera de acuerdo a una poltica de
seguridad definida y que se debe prevenir que este sea ejecutado. 60
60
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
99
COPIAS DE SEGURIDAD.
Control
Se deben de realizar copias de respaldo de la informacin y del
software, y se deben poner a prueba con regularidad de acuerdo con la
poltica de respaldo acordada. 61
61
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
100
Control
Las redes deben ser manejadas y controladas adecuadamente para
proteger de amenazas y para mantener las seguridades en los sistemas
y aplicaciones usando las redes, incluyendo informacin en trnsito.
62
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
101
verificar
que
existe
segregacin
de
funciones
en
las
102
Control
Las caractersticas de seguridad, niveles de servicio y los requisitos
de gestin de todos los servicios de red deben ser identificadas e
incluidos en cualquier acuerdo de servicio de red, as estos servicios
sean provistos dentro o fuera de la organizacin. 63
Control
Debera haber procedimientos para la gestin de los medios
informticos removibles. 64
63
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
64
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
103
Control a implementar
104
Control
Se deberan eliminar los medios de forma segura y sin peligro cuando
no se necesiten ms, utilizando procedimientos formales. 65
65
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
105
Control
Los procedimientos para la manipulacin y almacenamientos de la
informacin deben ser establecidos para proteger esta informacin de
divulgaciones o usos no autorizados. 66
Control
La documentacin de sistemas debe ser protegida contra acceso no
autorizado. 67
66
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
67
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
106
INTERCAMBIO DE INFORMACIN.
Control
Se deberan establecer polticas, procedimientos y controles formales
de intercambio con el fin de proteger la informacin a travs de todos
los tipos de instalaciones de comunicacin. 68
68
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
107
Control
Los medios conteniendo informacin deben ser protegidos contra
acceso no autorizado, mal uso o corrupcin durante el transporte fuera
de los lmites fsicos de la organizacin. 70
69
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
70
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
108
Control
La informacin implicada con la mensajera electrnica debe ser
protegida apropiadamente. 71
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
109
Control
Se deberan desarrollar e implementar polticas y procedimientos con
el fin de proteger la informacin asociada con la interconexin de
sistemas de informacin de negocios. 72
Control
La informacin envuelta en el comercio electrnico pasando a travs
de redes pblicas, debe ser protegida de actividades fraudulentas,
dispuesta de contratos y de acceso y modificacin no autorizada. 73
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
73
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
110
Control
La informacin implcita en las transacciones en lneas debe ser
protegida para prevenir la transmisin incompleta, ruta equivocada,
alteracin no autorizada de mensajes, acceso no autorizado, duplicado
no autorizado del mensaje o reproduccin. 74
Control
La integridad de la informacin que se ha hecho disponible en un
sistema pblico debe ser protegido para prevenir modificaciones no
autorizadas. 75
Este requerimiento no se pudo llevar a cabo debido a que todo este tipo
de informacin es manejado en la sede principal cuenca, sin embargo se
incorporaran polticas referentes al tema.
74
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
75
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
111
SUPERVISIN.
Control
Los registros de auditora grabando actividades de los usuarios,
excepciones y eventos de la seguridad de informacin deben ser
producidos y guardados para un periodo acordado con el fin de que
asistan en investigaciones futuras y en el monitoreo de los controles de
acceso. 76
76
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
112
Control
Los procedimientos para el uso del monitoreo de las instalaciones de
procesamiento de informacin deben ser establecidos y los resultados
de las actividades de monitoreo deben ser revisadas regularmente. 77
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
113
Control
Las instalaciones de informacin de registro deben ser protegidas
contra acciones forzosas u accesos no autorizados. 78
Control
Actividades del administrador y de los operadores del sistema deben
ser registradas. 79
78
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
79
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
114
1. Para los usuarios que son Domain Admin, debe existir un monitoreo
de sus actividades, que incluya hora de registro, accin que realiz.
Control
Las averas deben ser registradas, analizadas y se debe tomar
acciones apropiadas. 80
80
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
115
Solo son verificados cuando surge una falla en algn aplicativo, sin
embargo no existe un procedimiento de monitoreo frecuente de los
mismos.
Control
Los relojes de todos los sistemas de procesamiento de informacin
dentro de la organizacin o en el dominio de seguridad deben ser
sincronizados con una fuente acordada y exacta de tiempo. 81
81
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
116
Control
Una poltica de control de acceso debe ser establecida, documentada
y revisada y debe estar basada en los requisitos de seguridad y del
negocio. 82
82
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
117
118
Control
Se debera formalizar un procedimiento de registro de altas y bajas de
usuarios para garantizar el acceso a los sistemas y servicios de
informacin multiusuario. 83
(**compromiso de
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
119
Control
Debera restringir y controlarse el uso y asignacin de privilegios. 84
84
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
120
Control
Se deberan controlar la asignacin de contraseas por medio de un
proceso de gestin formal. 85
la firma del
2. Documente la poltica que exige que cada vez que se le otorgue una
contrasea a un usuario para acceso a cualquier recurso, esta debe
nacer expirada.
85
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
121
realizan
una
llamada
al
personal
responsable
del
5. Documente
si
predeterminadas
existe
la
poltica
de
por
el
proveedor
que
deben
las
de
contraseas
cambiarse
Control
El Rectorado debera establecer un proceso formal de revisin
peridica de los derechos de acceso de los usuarios. 86
86
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
122
Cambio de rea
Vacaciones
Licencia por maternidad o enfermedad
Calamidad domestica.
Control
Los usuarios deberan seguir buenas polticas de seguridad para la
seleccin y uso de sus contraseas. 87
87
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
123
Nacen expiradas
Caracteres mnimos y mximos, etc.
Control
Los usuarios deberan asegurar que los equipos informticos
desatendidos estn debidamente protegidos. 88
88
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
124
Control
Se deberan adoptar una poltica de escritorio para papeles y medios
removibles de almacenamiento as como una poltica de pantalla limpia
instalaciones de procesamiento de informacin. 89
89
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
125
Control
Los usuarios slo deberan tener acceso directo a los servicios para
los que estn autorizados de una forma especfica. 90
Control
Se deben utilizar mtodos apropiados de autentificacin para
controlar el acceso de usuarios remotos. 91
Control
90
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
91
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
126
Control
Las identificaciones automticas de equipo deben ser consideradas
como medios para autentificar conexiones desde locales y equipos
especficos. 92
Control
Se debera controlar el acceso fsico y logstico para diagnosticar y
configurar puertos. 93
92
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
93
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
127
Control
Los grupos de servicios de informacin, usuarios y sistemas de
informacin deben ser segregados en las redes. 94
Control
Los requisitos de la poltica de control de accesos para redes
compartidas, sobre todos para las que atraviesan las fronteras de la
94
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
128
Control
Control
Se deberan implementar controles de enrutamiento que garanticen
que las conexiones entre computadores y los flujos de informacin no
incumplan la poltica de control de acceso a las aplicaciones. 96
95
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
96
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
129
Control
El acceso a los sistemas operativos se debera controlar mediante un
procedimiento de registro de inicio seguro. 97
97
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
130
Control
Todos los usuarios deberan disponer de un identificador nico para
su uso personal y debera ser escogida una tcnica de autenticacin
adecuada para verificar la identidad de estos. 98
Control
Los sistemas de gestin de contraseas deberan proporcionar un
medio eficaz e interactivo para asegurar la calidad de las mismas. 99
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
99
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
131
132
Control
La mayora de las instalaciones informticas disponen de programas
del sistema capaces de eludir las medidas de control del sistema o de
las aplicaciones. Es fundamental que su uso se restrinja y se mantenga
fuertemente controlado. 100
100
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
133
Control
Las sesiones se deberan desactivar tras un periodo definido de
inactividad. 101
Control
Las restricciones en los tiempos de conexin ofrecen seguridad
adicional para aplicaciones de alto riesgo. 102
101
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
102
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
134
Control
Se debera dar acceso a la informacin y a las funciones del sistema
de aplicaciones solo a los usuarios de este, incluido el personal de
apoyo, de acuerdo con una poltica de control de accesos definida. 103
Control
Los sistemas sensibles pueden necesitar entornos informticos
dedicados (aislados). 104
103
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
104
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
135
Control
Se debera adoptar una poltica formal y medidas de seguridad
apropiadas con el fin de protegernos contra los riesgos cuando se usan
dispositivos de informtica. 105
A.11.7.2 Teletrabajo
Control
Se deberan desarrollar e implementar una poltica, planes
operacionales y procedimientos para las actividades de teletrabajo.
106
1. Detalle los controles y polticas que se tiene para evitar que utilizando
la VPN se pueda contagiar de virus la red.
105
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
106
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
136
137
Control
Los enunciados de los requisitos de negocios para sistemas nuevos o
mejoras a sistemas existentes deberan especificar los requisitos de
control. 107
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
138
Single Sign On
Perfiles de usuarios
Para acceso directo a las bases de datos sern atreves de las
interfaces aplicativas.
El token o ticket de sesin
Identificacin nica de la sesin del usuario
139
Control
Se deberan validar los datos de entrada a las aplicaciones del
sistema para garantizar que son correctas y apropiadas. 108
Importante:
Validar estos datos para asegurar que son correctos y apropiados.
Control
Se deberan incorporar a los sistemas comprobaciones de validacin
para detectar cualquier tipo de corrupcin de informacin a travs de
errores del proceso o por actos deliberados. 109
108
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
109
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
140
Importante:
Control
Se debera identificar los requerimientos para asegurar la
autenticacin y proteccin de la integridad de los mensajes en
aplicaciones y se deberan de identificar e implementar controles
apropiados. 110
Importante:
110
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
141
Control
Se debera validar los datos de salida de un sistema de aplicacin
para garantizar que el proceso de la informacin ha sido correcto y
apropiado a las circunstancias. 111
Importante.
111
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
142
CONTROLES CRIPTOGRFICAS
Control
La organizacin debera desarrollar e implementar una poltica de
uso de las medidas criptogrficas para proteger la informacin. 112
Control
La gestin de claves debe criptogrficas debe apoyar el uso de las
tcnicas criptogrficas en la organizacin. 113
112
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
143
Importante.
Control
Deberan existir procedimientos para controlar la instalacin del
software en sistemas operacionales. 114
113
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
114
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
144
Control
Los datos de prueba deben ser seleccionados cuidadosamente, as
como protegidos y controlados. 115
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
145
Control
El acceso a los cdigos de programas fuentes debe ser restringido.
116
116
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
146
Control
La implementacin de cambios debe ser controlada usando
procedimientos formales de cambio. 117
117
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
147
Control
Se deberan revisar y probar las aplicaciones del sistema cuando se
efecten cambios, para asegurar que no impactan adversamente en el
funcionamiento o en la seguridad. 118
Control
No se recomiendan modificar a los paquetes de software. Se deberan
limitar a cambios necesarios y todos estos deben ser estrictamente
controlados. 119
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
119
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
148
Control
Las oportunidades de fuga de informacin deben ser prevenidas. 120
Controles a implementar:
120
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
149
Control
El desarrollo externo del software debe ser supervisado y
monitoreado por la organizacin. 121
Control
Se debe obtener a tiempo la informacin sobre las vulnerabilidades
tcnicas de los sistemas de informacin utilizadas. Igualmente, se debe
evaluar la exposicin de la organizacin a tales vulnerabilidades y las
medidas apropiadas para tratar los riesgos asociados. 122
121
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
122
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
150
Grfico #8
Proceso de actualizacin de parches
151
Control
Los eventos en la seguridad de informacin deben ser reportados lo
ms rpido posible a travs de una gestin de canales apropiada. 123
Controles a implementar.
123
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
152
Control
Todos los empleados, contratistas y terceros que son usuarios de los
sistemas y servicios de informacin deben anotar y reportar cualquier
debilidad observada o sospechada en la seguridad de estos. 124
124
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
153
Control
Las responsabilidades y procedimientos de la gerencia deben ser
establecidas para asegurar una rpida, efectiva y ordenada respuesta a
los incidentes en la seguridad de informacin. 125
125
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
154
Control
Debe existir un mecanismo que permita que los tipos, volmenes y
costos de los incidentes en la seguridad de informacin sean
cuantificados y monitoreados. 126
Detalle de incidente.
En que afecto el incidente, cual fue el impacto que causo a la
Universidad Politcnica Salesiana.
Informe de cmo resolvieron el incidente.
126
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
155
Control
Cuando una accin de seguimiento contra una persona u
organizacin, despus de un incidente en la seguridad de informacin,
implique accin legal (civil o criminal), la evidencia debe ser
recolectada, retenida y presentada para estar conforme con las reglas
para la colocacin de evidencia en la jurisdiccin relevante. 127
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
156
3.2.10.
Control
Se debera instalar en toda la organizacin un proceso de gestin
para el desarrollo y el mantenimiento de la continuidad del negocio a
travs de la organizacin que trate los requerimientos en la seguridad
de informacin necesarios para la continuidad del negocio. 128
128
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
157
Control
Los eventos que pueden causar interrupciones a los procesos de
negocio deben ser identificados, junto con la probabilidad e impacto de
dichas interrupciones y sus consecuencias para la seguridad de
informacin. 129
Control
Se deberan desarrollar planes de mantenimiento y recuperacin de
las operaciones del negocio, para asegurar la disponibilidad de
informacin al nivel y en las escalas de tiempo requeridas, tras la
interrupcin o la falla de sus procesos crticos. 130
129
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
130
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
158
Control
Se debera mantener un esquema nico de planes de continuidad del
negocio para asegurar que dichos planes son consistentes, para tratar
los requisitos de seguridad y para identificar las prioridades de prueba
y mantenimiento. 131
Control
Los planes de continuidad del negocio se deberan probar
regularmente para asegurarse de su actualizacin y eficacia. 132
131
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
132
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
159
3.2.11.
Cumplimiento.
Control
El personal debe ser disuadido de utilizar los recursos de tratamiento
de la informacin para propsitos no autorizados. 133
Control
Se deberan implantar los procedimientos apropiados para asegurar
el
cumplimiento
de
las
restricciones
legales,
reguladoras
133
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
134
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
160
Control
Se deberan proteger los registros importantes de la organizacin
frente a su prdida, destruccin y falsificacin en concordancia con los
requisitos regulatorios, contractuales y de negocio. 135
Control
La proteccin de datos y la privacidad debe ser asegurada como se
requiere en la legislacin, las regulaciones y, si es aplicable, en las
clusulas contractuales. 136
135
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
136
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
161
Control
El personal debe ser disuadido de utilizar los recursos de tratamiento
de la informacin para propsitos no autorizados. 137
Control
Los controles criptogrficos deben ser utilizados en conformidad con
todos los acuerdos, leyes y regulaciones. 138
137
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
138
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
162
Control
Los gerentes deberan asegurarse que se cumplan correctamente
todos los procedimientos de seguridad dentro de su rea de
responsabilidad cumpliendo las polticas y estndares de seguridad.
139
Control
Se debera comprobar regularmente la conformidad con las normas
de implantacin de la seguridad en los sistemas de informacin. 140
139
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
140
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
163
Control
Se deberan planificar cuidadosamente y acordarse los requisitos y
actividades de auditora que impliquen comprobaciones en los sistemas
operativos, para minimizar el riesgo de interrupcin de los procesos de
negocio. 141
Control
Se deberan proteger los accesos a las herramientas de auditora de
sistemas con el fin de prever cualquier posible mal uso o dao. 142
141
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
142
ISO 27002, Portal de soluciones tcnicas y organizativas a los controles de la ISO/IEC 27002.
Direccin URL: < http://iso27002.wiki.zoho.com >
164
CAPITULO 4
4. CONCLUSIONES Y RECOMENDACIONES
4.1. Conclusiones
la
Universidad
Politcnica
Salesiana
sede
Guayaquil,
165
4.2. Recomendaciones
166
167
BIBLIOGRAFIA
168
169
ANEXOS
170