TG Mgsi Fusalmo 25032013

UNIVERSIDAD DE EL SALVADOR
FACULTAD DE ECONOMA
MAESTRA EN CONSULTORA EMPRESARIAL
MODELO DE GESTIN DE SEGURIDAD DE LA INFORMACIN PARA LA

FUNDACIN SALVADOR DEL MUNDO DE EL SALVADOR, CON
REFERENCIA AL ESTNDAR INTERNACIONAL ISO/IEC 27001:2005.
TRABAJO DE GRADUACIN PRESENTADO POR:
INGA. ADRIANA VIRGINIA FIGUEROA RIVAS

INGA. KARINA LUCA FLORES FIGUEROA
LICDA. SARA MIRIAM SAMAYOA RAMREZ
PARA OPTAR AL GRADO DE:
MAESTRA EN CONSULTORA EMPRESARIAL
SAN SALVADOR, EL SALVADOR, MARZO DE 2013
UNIVERSIDAD DE EL SALVADOR
AUTORIDADES UNIVERSITARIAS
RECTOR
: INGENIERO MARIO ROBERTO NIETO LOVO
SECRETARIA GENERAL
: DOCTORA ANA LETICIA ZAVALETA DE AMAYA
AUTORIDADES DE LA FACULTAD DE CIENCIAS ECONMICAS

DECANO
: MAESTRO ROGER ARMANDO ARIAS ALVARADO
VICEDECANO
: MAESTRO LVARO EDGARDO CALERO RODAS
SECRETARIO
: INGENIERO JOS CIRIACO GUTIRREZ
ADMINISTRADOR ACADMICO : LICENCIADO EDGAR ANTONIO MEDRANO

ASESOR
: MAESTRO CARLOS ARMANDO PINEDA
TRIBUNAL EXAMINADOR
: MAESTRO DIMAS DE JESS RAMREZ ALEMN

MAESTRO CARLOS ARMANDO PINEDA
DOCTOR JORGE ANIBAL CABRERA MARROQUN
MARZO DE 2013
SAN SALVADOR
EL SALVADOR
CENTRO AMRICA
AGRADECIMIENTOS
Agradezco infinitamente a Dios por permitirme este nuevo logro, a la Virgen Mara
que siempre me acompaa y me guan en mi camino. A mi mam Aminda y mis
hermanos Aminda, Mario y toda mi familia que siempre me apoyaron y confiaron
en mis capacidades, ya que su apoyo fue vital para alcanzar
este logro
profesional. A mis amigas Sarita y Kary por alcanzar esa integracin de cualidades
y haber trabajado en conjunto para lograr nuestra meta.
Adriana Virginia Figueroa Rivas
Gracias a Dios por sus bendiciones, por permitirme este nuevo logro y darme la
oportunidad de ver una vez ms sus obras en mi vida; gracias a la Virgen Mara
que siempre me acompaa, protege e iluminan y guan mi camino. A mi familia:
Lucy, Francisco, Katy y Leslie, por ser lo ms valioso que Dios ha podido darme,
por su amor, fortaleza y siempre estar conmigo. A mis amigas Sarita y Adri, es
grandioso ver el fruto del esfuerzo, dedicacin e integracin de nuestras virtudes.
Karina Luca Flores Figueroa
El ms grande de mis agradecimientos al Divino nio Jess y Mara Auxiliadora,

por permitir que lo que inicio como un sueo se haga realidad en mi vida y cerrar
este ciclo profesional con triunfo y alegra. A mi familia por el constante apoyo y
especialmente a mi mam Betty por impulsarme en mis metas, confiar siempre en
mis capacidades. A mi grupo de tesis conformado por dos de mis grandes amigas
a quieres admiro como seres humanos y como profesionales.
Sara Miriam Samayoa Ramrez
INDICE
Introduccin .
1.1 Fundacin Salvador del Mundo (FUSALMO)
1.1.1 Filosofa Institucional
1.1.2 Estructura organizativa
1.2 Planteamiento del Problema .
1.2.1 Preguntas de investigacin .
1.2.2 Definicin del problema
1.3 Justificacin
1.4 Cobertura
1.4.1 Temporal
1.4.2 Geogrfica
1.5 Alcance y limitaciones
1.6 Objetivos .
10
1.6.1 General
10
1.6.2 Especficos
10
10
1.7.1 Definicin del mtodo de recoleccin de informacin .
10
1.7.2 Fuentes de investigacin
11
1.8 Variables de anlisis .
12
CAPTULO II. MARCO TERICO
13
CAPTULO I. MARCO DE REFERENCIA.
1.7 Metodologa de la investigacin
2.1 Definicin del estndar internacional ISO/IEC 27001:2005 Tecnologa de

la informacin Tcnicas de seguridad Sistemas de gestin de seguridad
de la informacin Requerimientos .
2.2 Sistema de Gestin de Seguridad de la Informacin
14
17
21
2.3 Beneficios al implementar un Sistema de Gestin de Seguridad de la

Informacin
2.4 Etapas para el desarrollo de un Sistema de Gestin de Seguridad de la

Informacin
22
CAPTULO III. DIAGNSTICO DE LA INSTITUCIN .
24
3.1 Contexto y capacidad instalada de FUSALMO
24
3.1.1 Programas y proyectos
24
30
33
3.2 Descripcin de la metodologa de diagnstico
3.2.1 Entrevista a personal clave y observacin en sitio
3.2.2 Herramienta de valoracin de acuerdo a los controles y requerimientos

definidos en el estndar.
35
3.2.3 Anlisis grfico mediante herramienta de Tela de araa o grfico Radial 41

3.3 Anlisis de riesgo
44
45
3.3.1.1 Identificacin de los activos crticos de la Institucin .
46
3.3.1.2 Identificacin de las amenazas para los activos crticos
50
3.3.1.3 Identificacin de vulnerabilidades para los activos crticos .
51
3.3.1.4 Definicin del riesgo
3.3.1 Metodologa OCTAVE
54
3.3.1.5 Impacto de las vulnerabilidades .
55
3.3.1.6 Probabilidad del riesgo
56
3.3.1.7 Valor cualitativo del riesgo
56
60
3.4 Anlisis econmico de los incidentes de seguridad
3.5 Benchmarking - Casos de estudio Banco Central de Reserva de El Salvador TACA Airlines El Salvador
63
3.5.1 Objetivo del benchmarking .
63
3.5.2 Metodologa del benchmarking
64
3.5.3 Casos de estudio Banco Central de Reserva de El Salvador - TACA Airlines

El Salvador
64
3.5.3.1 Factores clave de xito para el BCR
64
3.5.3.2 Conclusiones del proceso en el BCR
66
3.5.3.3 Factores clave de xito para TACA
66
3.5.3.4 Conclusiones del proceso en TACA
68
ii
3.5.4 Anlisis comparativo con FUSALMO
68
3.6 Resumen de resultados obtenidos con las herramientas de diagnstico
70
3.7 Factores crticos para la Institucin .
78
3.8 Procedimientos crticos para la Institucin .
81
CAPTULO IV. PROPUESTA DEL SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN
82
4.1 Plan de implementacin
82
4.2 Estrategias para la implementacin .
87
4.3 Consideraciones al plan de implementacin
88
91
CAPTULO V. CONCLUSIONES Y RECOMENDACIONES

5.1 Conclusiones
91
5.2 Recomendaciones
92
Bibliografa .
95
Glosario
95
Anexos
101
Anexo 1: Estndar Internacional ISO/IEC 27001 Sistema de Gestin de

Seguridad de la Informacin
101
Anexo 2: Modelo de entrevista a personal clave
144
Anexo 3: Manual de Polticas de Seguridad de la Informacin
155
iii
INTRODUCCIN.
La
informacin
es un activo
fundamental en
las
operaciones de
las
organizaciones; su disponibilidad, confidencialidad y seguridad son caractersticas

propias de una gestin para su proteccin las cuales deben garantizarse para una
apropiada continuidad del negocio; de este contexto, surge la iniciativa de
desarrollar un Modelo de Gestin de Seguridad de la Informacin para la
Fundacin Salvador del Mundo (FUSALMO), basado en el estndar ISO/IEC
27001:2005 acerca del Sistema de Gestin de Seguridad de la Informacin, el cual
integra las perspectivas de organizacin, aspectos tcnicos y del recurso humano
involucrado.
FUSALMO es una organizacin sin fines de lucro que fue fundada en el ao 2001
y opera con aportes y proyectos desarrollados con aliados estratgicos; es una
organizacin comprometida con la educacin y orientacin a jvenes en grupos de
riesgo, as como la integridad de la familia, entre otros. Por lo que, considerando
su importancia, se hace la propuesta de un Modelo de Gestin de Seguridad de la
Informacin acorde a sus necesidades y condiciones de operacin.
En el Captulo I, se presenta el Marco de Referencia de la investigacin, indicando

el planteamiento del problema, justificacin, objetivos y metodologa de la
investigacin, a fin de contextualizar el desarrollo de la misma en sus diferentes
fases. Luego en el Captulo II se establece el Marco Terico, indicando los
componentes, requerimientos y etapas del modelo.
A continuacin en el Captulo III se presenta el Diagnstico de la Institucin y en el

Captulo IV la Propuesta del Modelo de Gestin; para finalmente en el Captulo V,
presentar las Conclusiones y Recomendaciones derivadas de la investigacin.
CAPTULO I. MARCO DE REFERENCIA
1.1 Fundacin Salvador del Mundo (FUSALMO)
La Fundacin Salvador del Mundo (FUSALMO) es una organizacin no

gubernamental, sin fines de lucro, cuyo propsito le ubica como una alternativa de
solucin a la problemtica nacional de la niez y la juventud en condiciones de
riesgo. De tal modo que, fomentando y apoyando la educacin, el deporte y
recreacin, brinda una respuesta a las necesidades de la juventud en sus reas de
influencia.
FUSALMO naci el 17 de agosto de 20011, como una iniciativa de la Institucin
Salesiana en El Salvador, en una alianza pblico-privada para administrar los
polideportivos construidos en zonas de riesgo y violencia juvenil, concentrndose
geogrficamente en las zonas de Santa Ana, San Miguel y el Municipio de
Soyapango en San Salvador. Desde all, ofrece oportunidades de desarrollo
integral para la juventud salvadorea a travs de sus proyectos en los mbitos de
educacin, gestin socio-laboral, prevencin de la violencia,
actividades
deportivas, atencin integral a la familia, gua pastoral, entre otros. Para el

desarrollo de estos proyectos, cuenta con el apoyo de organizaciones con
responsabilidad social, comprometidos con la obra desde la provisin de servicios,
as como tambin con proyectos de auto sostenibilidad. 2
Entre los principales destinatarios de los programas y proyectos que administra la

organizacin estn: estudiantes de centros educativos pblicos, madres y padres
de familia de jvenes beneficiarios y miembros de las comunidades en los
municipios de influencia.
Decreto Ejecutivo No. 88 publicado en Diario Oficial de fecha 20 de Septiembre de 2001, Tomo
352.
2
Fuente: www2.fusalmo.org
2
1.1.1 Filosofa Institucional3
a) MISION: Brindar una educacin integral e innovadora con carisma salesiano a

nios, nias y jvenes en riesgo, especialmente en los sectores de influencia
de los Centros Juveniles.
b) VISION: Ser la mejor opcin para nio(a) s y jvenes en su desarrollo integral,

especialmente los ms necesitados, formando jvenes realizados y agentes de
cambio en su entorno social.
c) VALORES INSTITUCIONALES:
a)
Amabilidad
b)
Espritu de familia
c)
Apertura
d)
Solidaridad
e)
Testimonio
f)
Transparencia
g)
Eficiencia
h)
Efectividad
i)
Auto sostenibilidad
j)
Osada pastoral
1.1.2 Estructura Organizativa
La Institucin cuenta con 98 colaboradores contratados a tiempo completo y 8

colaboradores a tiempo parcial, totalizando 106 colaboradores permanentes. Su
Junta Directiva est conformada por un grupo multidisciplinario donde participan
diversos sectores que colaboran y unen esfuerzos en el desarrollo de las
Fuente: http://www2.fusalmo.org/index.php
3
actividades y programas establecidos para su misin, tal como se muestra en la

tabla 1.1.
Tabla 1.1 Junta Directiva FUSALMO 2011-2014

CARGO
REPRESENTA
Presidente
Institucin Salesiana
Vicepresidente
Secretario
Asociacin de Cooperadores
Pro Secretario
Asociacin de Cooperadores
Tesorero
Pro Tesorero
Primer Vocal
Vocal Suplente
Segundo Vocal
FEDISAL4
Vocal Suplente
FEDISAL
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la Fundacin

e informacin disponible en el sitio web oficial de la Fundacin.
Su estructura organizativa representada en forma de organigrama en la figura 1.1,

presenta una distribucin mixta, en la cual se observan los diferentes niveles
jerrquicos. La autoridad superior est representada por la Asamblea General,
seguido de la Junta Directiva.
Luego se encuentra la Direccin Ejecutiva, de la cual dependen componentes

crticos en la organizacin: Gestin y diseo de proyectos, el Consejo Ejecutivo,
Recursos Humanos y Comunicaciones. Luego se ubican la Direccin del Oratorio
(El comit pastoral ejerce autoridad sobre la misma) y las gerencias tcnicas,
administrativas y financieras.
Fundacin para la Educacin Integral Salvadorea (FEDISAL)
Organigrama general de FUSALMO
Figura 1.1 Organigrama Institucional de FUSALMO

5
1.2. Planteamiento del Problema
FUSALMO, siendo una organizacin que brinda servicios de apoyo a la juventud

en diferentes mbitos y muy especialmente en el campo educativo, actualmente
carece de un Sistema de Gestin de Seguridad de la Informacin que garantice la
preservacin de la misma, su seguridad y confidencialidad.
En el pasado, esta situacin ya le ha representado costos directos e indirectos en

cuanto
prdida
de
informacin
vulnerabilidades
en
seguridad
confidencialidad, dado que no se cuenta con un enfoque a procesos, ni un manual

de polticas de seguridad de la informacin que a su vez permita la gestin de
riesgos, generar mayor confianza y credibilidad ante sus destinatarios, clientes y
aliados estratgicos.
1.2.1 Preguntas de investigacin
a) Existen mecanismos de control de seguridad para el acceso a la

informacin?
b) Existe
una
poltica
de
seguridad
de
la
informacin
aceptada
institucionalmente?
c) Qu beneficios propiciara para la fundacin la implementacin de un
sistema de gestin de seguridad de la informacin?
d) La unidad que gestiona los sistemas de informacin cuenta con procesos
documentados?
e) La institucin cuenta con las instalaciones fsicas y tecnolgicas
apropiadas para garantizar la seguridad de la informacin?
f) La elaboracin de un sistema de gestin de seguridad de la informacin
basado en procesos contribuir a la gestin de la seguridad de la
informacin?
g) La poltica actual de seguridad de la informacin incorpora la filosofa
institucional?
6
1.2.2 Definicin del problema
Un modelo de gestin de seguridad de la informacin para FUSALMO

minimizara los riesgos de prdida de la misma, en aras de alcanzar los objetivos y
metas de la Institucin?
1.3 Justificacin
Actualmente la informacin representa un bien de gran valor, para la Institucin en

estudio es clave desde la planificacin y ejecucin de proyectos educativos y
sociales, as como en sus relaciones con colaboradores estratgicos y entidades
del sector productivo, donde estos ltimos cuentan con procesos estandarizados y
certificados internacionalmente; por tanto la disponibilidad, confidencialidad e
integridad de la informacin son objetivos clave para la administracin.
Este esfuerzo de la Institucin, aporta mayor respaldo y confianza en las

relaciones con sus colaboradores, as como una muestra voluntaria de mejora
continua y compromiso con la razn de ser de la misma.
Adicionalmente, el desarrollo de un modelo de gestin de seguridad de la

informacin permitir:
a) Conocer los riesgos y poder gestionarlos.

b) Implementar controles que minimicen los riesgos y amenazas en seguridad de
la informacin.
c) Lograr mayor credibilidad, confianza y fiabilidad ante sus destinatarios y
aliados estratgicos
d) Mejora en las relaciones con clientes y aliados estratgicos.
e) Mayor nivel de compromiso de parte de sus colaboradores
f) Operaciones basadas en procesos.
g) Adopcin de mejores prcticas de la industria.
7
h) Procesos que garanticen la seguridad, confidencialidad e integridad de la

informacin.
i) Mayor reconocimiento y prestigio en el sector.
A sus aliados estratgicos:

a) Compromiso con la mejora continua
b) Entorno de trabajo basado en procesos y compatible con otros modelos de
gestin aplicados a la industria y dems sectores productivos.
c) Desarrollo de procesos que garanticen la confidencialidad, seguridad e
integridad de la informacin.
A sus destinatarios:
a) Mejora continua en los servicios prestados, evitando uso inadecuado de la
informacin.
b) Consolidacin del equipo de trabajo dentro de la organizacin y su identidad
institucional.
c) Procesos que garanticen la seguridad, confidencialidad e integridad de la
informacin.
d) Mayor respaldo y compromiso en las relaciones con los aliados estratgicos y
el proyecto institucional.
e) Apertura de nuevos proyectos y la prolongacin de los ya vigentes de acuerdo
al ciclo de vida de los mismos.
1.4 Cobertura
1.4.1 Temporal
Tomando en cuenta que la Institucin cuenta con gran trayectoria en el desarrollo

de proyectos, consolidando sus inicios en el campo educativo alrededor del ao
2003 y que desde entonces ha evolucionado continuamente, as como tambin en
el campo de la tecnologa y las comunicaciones; para propsitos de la
8
investigacin se consider objeto de estudio la informacin de los ltimos cinco

aos, comprendidos del ao 2007 a 2011 en relacin a la regulacin,
administracin y seguridad de la informacin de acuerdo a su relevancia, as como
los documentos actualizados relacionados con la filosofa de la organizacin.
1.4.2 Geogrfica
El estudio se realiz en la Fundacin Salvador del Mundo (FUSALMO) de El

Salvador contemplando sus sedes en Soyapango, San Miguel y Santa Ana;
trabajando as conjuntamente con la sede central ubicada en Soyapango sobre la
interseccin carretera a San Miguel y calle a Tonacatepeque, despus del paso a
desnivel de Unicentro Soyapango. Estadio Plaza Espaa.
1.5 Alcance y limitaciones
La investigacin comprendi el establecimiento del Modelo de gestin de

seguridad de la informacin para la Institucin, el cual contempla la realizacin del
diagnstico de la misma en cuanto a sus procesos, organizacin y prcticas en
seguridad de la informacin bajo el enfoque de requerimientos del estndar
internacional, adems el establecimiento de una metodologa y resultados de
anlisis de riesgos, elaboracin del manual de polticas de seguridad de la
informacin, plan de implementacin del sistema y recomendaciones.
Entre las limitantes del proceso figuran la no documentacin de los procesos de la

Institucin en un Manual de Procedimientos, a pesar de que algunos de estos son
ejecutados en la prctica y se dispone de evidencias de su desarrollo; as como
los requerimientos de confidencialidad por parte de la Institucin a fin de la no
divulgacin de informacin crtica, permitiendo el acceso a la misma para
verificacin y restringiendo su publicacin en la documentacin del proceso
1.6 Objetivos
1.6.1 Objetivo General
Elaborar propuesta de modelo de gestin de seguridad de la informacin para la

Fundacin Salvador del Mundo de El Salvador, de acuerdo al estndar
internacional ISO/IEC 27001:2005.
1.6.2 Objetivos Especficos
a) Realizar un diagnstico de la situacin actual de la Institucin en relacin a

la seguridad de la informacin, de acuerdo a los requerimientos del
estndar ISO/IEC 27001:2005.
b) Definir aspectos de mejora para la posterior implementacin del Sistema de
Gestin de Seguridad de la Informacin (SGSI) en relacin a los
requerimientos del estndar ISO/IEC 27001:2005.
c) Desarrollar un SGSI, basado en el estndar ISO/IEC 27001:2005, en su
fase de planificacin.
d) Elaborar una propuesta de manual de polticas de seguridad de la
informacin, basado en la filosofa institucional y los requerimientos del
1.7 Metodologa de la investigacin
1.7.1 Definicin del mtodo de recoleccin de informacin.
El mtodo de investigacin se define de acuerdo a sus objetivos y las

caractersticas de la informacin requerida en cada etapa de su desarrollo. De tal
modo que se realiz un tipo de investigacin explicativa basada en la bsqueda
bibliogrfica, entrevistas y observaciones de campo que permiten a partir de un
diagnstico de la situacin actual, generar una propuesta de mejora.
10
Por tanto, en primer lugar se realiz una investigacin bibliogrfica en relacin a la

conceptualizacin, contexto y requerimientos del estndar ISO/IEC 27001:2005 a
fin de su interpretacin y aplicacin en la Institucin. A continuacin, se realiz la
investigacin bibliogrfica concerniente a su estructura, organizacin, destinatarios
y operaciones comerciales.
Luego de la investigacin bibliogrfica, el estudio se basa principalmente en las

observaciones de campo de las operaciones de la institucin y la entrevista a
personal clave en relacin a los requerimientos del estndar. Dado que sta no
cuenta con procedimientos establecidos para sus operaciones, no es posible
realizar un muestreo de procesos y en su defecto se observan aquellas
consideradas relevantes; para la fase de entrevista la seleccin se realiza en
funcin de la estructura organizativa y su relacin con las operaciones crticas de
la
misma.
Adicionalmente
se
emplea
el
benchmarking
para
capitalizar
experiencias de otras instituciones que operan en El Salvador y que hayan

implementado un SGSI.
1.7.2 Fuentes de investigacin
a) Investigacin Bibliogrfica
Comprendi la consulta de textos histricos de la Institucin, consulta de la

informacin pblica en su pgina web relacionada con proyectos, filosofa,
organizacin y todo documento interno relacionado con la investigacin. Adems,
la consulta de estndares de la industria, normativos, entre otros.
b) Investigacin de campo
Esta investigacin comprendi el diseo de seis modelos de entrevista dirigidas a
personal clave en relacin a la seguridad de la informacin y de acuerdo a su
mbito de actuacin, entre este recurso clave se consider tres niveles jerrquicos
incluyendo la Direccin Ejecutiva, tres gerencias y dos coordinadores de rea
11
involucrados. Por otro lado, se realiz la observacin en sitio de las instalaciones

dedicadas al procesamiento de la informacin y reas crticas.
Adicionalmente se realiz un Benchmarking a dos instituciones identificadas por

sus operaciones en nuestro pas y la implementacin de un SGSI, de tal modo de
retomar sus experiencias en el diseo del SGSI para la Institucin objeto de
estudio.
1.8 Variables a considerar
Considerando el objetivo general y objetivos especficos, se define las

macrovariables y microvariables de estudio que se muestran en la tabla 1.2.
Tabla 1.2: Macrovariables y Microvariables de estudio.

MACROVARIABLES
MICROVARIABLES
Organizacin interna
Responsabilidad relativa a la seguridad
Aspectos organizativos de la seguridad de la informacin.
de la informacin
Poltica de seguridad de la informacin
Responsabilidad vinculada al acceso de
terceros.
Proteccin y seguridad de los equipos
Seguridad fsica y del entorno
Controles fsicos de entrada
Mantenimiento de los equipos
Procesos documentados
Control de accesos
Intercambio de informacin
Comunicaciones y operaciones
Gestin de seguridad de las redes
Desarrollo y mantenimiento de sistemas
de informacin
Gestin de incidentes en la seguridad Continuidad del negocio
de la informacin
Acciones ante incidentes
Fuente: Elaboracin propia a partir de requerimientos del estndar internacional ISO/IEC
27001:2005
12
CAPTULO II. MARCO TERICO
Inmersos en una era de la informacin y el uso de las Tecnologas de la

Informacin y las Comunicaciones (TICs) en diversos mbitos como la educacin,
industria, negocios, entre otros; la informacin representa un bien invaluable que
demanda una garanta de disponibilidad, confidencialidad e integridad; para ello
las empresas deben comprometerse con estos atributos para asegurar las
operaciones propias del negocio, donde la informacin es procesada, transmitida y
almacenada.
Considerando una definicin de seguridad de la informacin, el estndar ISO/IEC

17799 sobre el Cdigo para la prctica de la gestin de la seguridad de la
informacin, establece que La seguridad de la informacin es la proteccin de la
informacin de un rango amplio de amenazas para poder asegurar la continuidad
del negocio, minimizar el riesgo comercial y maximizar el retorno de las
inversiones y las oportunidades comerciales.5 Por otro lado, el estndar ISO/IEC
27001:2005 sobre el Sistema de Gestin de Seguridad de la Informacin (SGSI)
define la seguridad de la informacin como preservacin de la confidencialidad,
integridad y disponibilidad de la informacin; adems tambin pueden estar
involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio
y confidencialidad6
En este contexto y retomando estas definiciones, existe una variedad de normas,

estndares y buenas prcticas orientadas a la seguridad de la informacin, en su
mayora bajo la perspectiva tcnica de la seguridad. Sin embargo, conscientes de
que el tema de seguridad de la informacin no puede ser abordado solamente en
una perspectiva tcnica, que muchos de los incidentes de seguridad se asocian a
Estndar Internacional ISO/IEC 17799 Cdigo para la prctica de la gestin de la

seguridad de la informacin.
6
Anexo 1: Estndar Internacional ISO/IEC 27001 Sistema de Gestin de Seguridad de la
Informacin.
13
las practicas del recurso humano y que el compromiso de la organizacin debe ser
adoptado por todos los niveles jerrquicos, se toma como referencia el estndar
ISO/IEC 27001:2005 Tecnologa de la informacin Tcnicas de seguridad
Sistemas de gestin de seguridad de la informacin Requerimientos, ya que es
un estndar que aborda de manera integral los aspectos organizativos, tcnicos y
operativos de la seguridad de la informacin bajo un enfoque de mejora continua
aplicable a todo tipo de organizaciones independientemente de su tamao,
naturaleza, y giro de negocio.
2.1 Definicin del estndar internacional ISO/IEC 27001:2005 Tecnologa de

la informacin Tcnicas de seguridad Sistema de gestin de seguridad
de la informacin Requerimientos.
El estndar para la seguridad de la informacin ISO/IEC 27001:2005 (Information

technology - Security techniques - Information security management systems Requirements) fue aprobado y publicado como estndar internacional en octubre
de 2005 por la Organizacin Internacional para la Estandarizacin (ISO,
International Organization for Standardization) y por la Comisin Electrotcnica
Internacional (IEC, International Electrotechnical Commission), la cual especifica
los requisitos necesarios para establecer, implementar, operar, monitorear y
mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI).
El Estndar comprende:
a) Introduccin general
b) Enfoque de procesos
c) Compatibilidad con otros sistemas de gestin
d) Alcance: general y aplicacin
e) Referencias normativas
f) Trminos y definiciones
14
g) Sistema de gestin de seguridad de la informacin: requerimientos generales,

establecer y manejar el SGSI, requerimientos de documentacin.
h) Responsabilidad de la gerencia: Compromiso y gestin de recursos
i) Auditoras internas del SGSI
j) Revisin gerencial del SGSI
Este estndar se basa en un modelo con enfoque a procesos para la gestin de la

seguridad de la informacin, conocido como PDCA por sus siglas en ingls
(Planear, hacer, chequear, actuar), donde se enfatiza la importancia y propsito
de:7
a) Entender los requerimientos de seguridad de la informacin de una
organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin;
b) Implementar y operar controles para manejar los riesgos de la seguridad de la
informacin;
c) Monitorear y revisar el desempeo y la efectividad del SGSI; y
d) Mejoramiento continuo en base a la medicin del objetivo.
El modelo exige que la organizacin establezca, implemente, opere, monitoree,

mantenga y mejore continuamente un SGSI documentado en base al contexto de
las operaciones comerciales generales de la organizacin y los riesgos a los que
se est expuesto.
En la figura 2.1, se muestra el esquema del modelo como un ciclo continuo de

cuatro etapas en funcin del SGSI, las expectativas y resultados de las partes
interesadas, donde se implementa y opera, establece, mantiene, monitorea y
revisa el SGSI.

Informacin.
15
PLAN
Establecer el SGSI
PARTES
INTERESADAS
PARTES
INTERESADAS
Requerimientos
y expectativas
de la seguridad
de la
informacin
ACTUAR
HACER
Mantener y mejorar
el SGSI
Implementar y
operar el SGSI
Seguridad de
la informacin
administrada
CHEQUEAR
Monitorear y revisar
el SGSI
Figura 2.1: Modelo PDCA aplicado a los procesos del SGSI
El estndar es compatible con otros sistemas de gestin, tal es el caso de ISO

9001:2000 Sistema de Gestin de la Calidad e ISO 14001:2004 Sistema de
Gestin Ambiental, conformando un sistema integrado cuyo alcance comprende
todo tipo de organizaciones.
Por tanto, implementar un modelo de SGSI en cualquier organizacin tiene como

objetivo:
a) Identificar los riesgos para la organizacin en funcin de la seguridad de la
informacin.
b) Establecer los controles ante los riesgos de seguridad de acuerdo a las
vulnerabilidades identificadas.
c) Definir las polticas del SGSI dentro de la organizacin.
d) Evaluar y medir el proceso de desempeo y eficiencia del modelo.
e) Tomar acciones ante incidentes de seguridad.
f) Implementar acciones correctivas y preventivas basadas en resultados de
auditoria y seguimiento para mejorar continuamente el SGSI.
16
2.2 Sistema de Gestin de Seguridad de la Informacin
El SGSI es entonces un conjunto de polticas y procesos para gestionar, de

manera
eficiente,
la
accesibilidad
la
informacin,
asegurando
su
confidencialidad, integridad y disponibilidad de los activos, minimizando los riesgos

de seguridad de la misma.
Por
tanto,
de
acuerdo
al
estndar
internacional
ISO/27001:2005,
la
implementacin del SGSI requiere que las organizaciones8:
a) Definan el alcance y los lmites del SGSI en trminos de las caractersticas del
negocio, la organizacin, su ubicacin, activos, tecnologa e incluyendo los
detalles y la justificacin de cualquier exclusin del alcance.
b) Definan una poltica del SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa, que adems:
a. Incluyan un marco referencial para establecer sus objetivos y establezca
un sentido de direccin general y principios para la accin con relacin a
la seguridad de la informacin;
b. Tomen en cuenta los requerimientos comerciales y legales o
reguladores, y las obligaciones de la seguridad contractual;
c. Estn alineadas con el contexto de la gestin estratgica del riesgo de la
organizacin, en el cual se establecer y mantendr el SGSI;
d. Establezcan el criterio con el que se evaluar el riesgo;
e. Hayan sido aprobadas por la gerencia.
c) Definan el enfoque de valuacin del riesgo de la organizacin.

Informacin
17
a. Identifiquen una metodologa de clculo del riesgo adecuado para el

SGSI y los requerimientos identificados de seguridad, legales y
reguladores de la informacin comercial.
b. Desarrollen los criterios para aceptar los riesgos e identificar los niveles
de riesgo aceptables.
d) Identifiquen los riesgos.

a. Identifiquen los activos dentro del alcance del SGSI y los propietarios de
estos activos.
b. Identifiquen las amenazas para stos activos.
c. Identifiquen las vulnerabilidades que podran ser explotadas por las
amenazas.
d. Identifiquen los impactos que pueden tener las prdidas de confiabilidad,
integridad y disponibilidad sobre los activos.
e) Analicen y evalen el riesgo.

a. Calculen el impacto comercial sobre la organizacin que podra resultar
de una falla en la seguridad, tomando en cuenta las consecuencias de
una prdida de confidencialidad, integridad o disponibilidad de los
activos.
b. Calculen la probabilidad realista de que ocurra dicha falla a la luz de las
amenazas y vulnerabilidades prevalecientes, y los impactos asociados
con estos activos, y los controles implementados actualmente.
c. Calculen los niveles de riesgo.
d. Determinen si el riesgo es aceptable o requiere tratamiento utilizando el
criterio de aceptacin del riesgo.
f) Identifiquen y evalen las opciones para el tratamiento de los riesgos

a. Apliquen los controles apropiados;
18
b. Acepten los riesgos consciente y objetivamente, siempre que satisfagan

claramente las polticas y el criterio de aceptacin del riesgo de la
organizacin;
c. Eviten los riesgos; y
d. Transfieran los riesgos comerciales asociados a otras entidades.
g) Seleccionen objetivos de control y controles para el tratamiento de riesgos.

h) Obtengan la aprobacin de la gerencia para los riesgos residuales propuestos.
i) Obtengan la autorizacin de la gerencia para implementar y operar el SGSI.
j) Prepararen un Enunciado de Aplicabilidad que incluya:
a. Los objetivos de control y los controles seleccionados y las razones para
su seleccin
b. Los objetivos de control y controles implementados actualmente; y
c. La exclusin de cualquier objetivo de control y la justificacin para su
exclusin.
En el anexo A del estndar, se presentan 39 objetivos de control como referencia
para la seleccin de controles en el SGSI; estos estn relacionados con 133
controles comnmente relevantes para las organizaciones. En la tabla 2.1 se
muestra un detalle del mbito o alcance de control de seguridad considerados en
el estndar; posteriormente en el Captulo III se hace referencia a los controles por
cada mbito.
Tabla 2.1 mbitos de control de seguridad
OBJETIVOS DE CONTROL Y CONTROLES DEL ESTANDAR ISO27001:2005
Apartado
del
mbito
Submbito
estndar
5
Poltica de seguridad
5.1 Poltica de seguridad de la informacin.
6.1 Organizacin interna
6
Organizacin de la seguridad
6.2 Entidades externas.
7.1 Responsabilidad por los activos.
7
Gestin de activos
7.2 Clasificacin de la informacin.
8.1 Antes del empleo.
Seguridad de los recursos
8
8.2 Durante el empleo.
humanos
8.3 Terminacin o cambio de empleo.
19
Apartado
del
estndar
9
10
11
12
13
14
15
mbito
Seguridad
entorno
fsica
Submbito
y
del 9.1 reas seguras.

9.2 Seguridad del equipo.
10.1 Procedimientos y responsabilidades
operativas.
10.2 Gestin de la entrega del servicio a
terceros.
10.3 Planeacin y aceptacin del sistema.
10.4 Proteccin contra software malicioso y
Gestin de comunicaciones y
cdigo mvil.
operaciones
10.5 Respaldo (Back-up).
10.6 Gestin de seguridad de redes.
10.7 Gestin de medios.
10.8 Intercambio de informacin.
10.9 Servicios de comercio electrnico.
10.10 Monitoreo.
11.1 Requerimiento comercial para el control
de acceso.
11.2 Gestin de acceso del usuario.
11.3 Responsabilidad del usuario.
Control de acceso
11.4 Control del acceso a redes.
11.5 Control de acceso al sistema operativo.
11.6 Control de acceso a aplicaciones e
informacin.
11.7 Computacin mvil y teletrabajo.
12.1 Requerimientos de seguridad de los
sistemas.
12.2
Procesamiento
correcto
en
las
aplicaciones.
Adquisicin, desarrollo y
12.3 Controles criptogrficos.
mantenimiento de sistemas
12.4 Seguridad de los archivos del sistema.
12.5 Seguridad en los procesos de desarrollo y
soporte.
12.6 Gestin de vulnerabilidad tcnica.
13.1 Reporte de eventos y debilidades en la
Gestin de incidentes de seguridad de la informacin.
seguridad
13.2 Gestin de incidentes y mejoras en la
Gestin de continuidad del 14.1 Aspectos de la seguridad de la
negocio
informacin y la continuidad del negocio.
15.1 Cumplimiento con requerimientos legales.
15.2 Cumplimiento con las polticas y
estndares de seguridad y el cumplimiento
Cumplimiento
tcnico.
15.3 Consideraciones de auditora de los
sistemas de informacin.
Fuente: Elaboracin propia a partir de los controles definidos en el estndar ISO/IEC27001:2005
20
2.3 Beneficios al implementar un Sistema de Gestin de Seguridad de la

informacin
Tomar la decisin de implementar y gestionar un SGSI es una decisin de alto

nivel gerencial que implica un compromiso de la organizacin con los objetivos del
mismo; por tal razn debe contar con todo el respaldo y disponibilidad de recursos,
documentos e informacin relevante para su desarrollo e implementacin.
Iniciar este proceso y su eficiente continuidad supone algunos beneficios directos

e indirectos para la organizacin, entre los que se puede mencionar:
a) Conocer los riesgos de seguridad y poder gestionarlos.

b) Implementar controles que minimicen los riesgos y amenazas en seguridad de
la informacin.
c) Lograr mayor credibilidad, confianza y fiabilidad ante clientes y destinatarios.
d) Mejorar las relaciones con clientes y aliados estratgicos.
e) Mayor nivel de compromiso de parte de colaboradores y usuarios.
f) Operaciones basadas en procesos.
g) Adopcin de mejores prcticas de la industria.
h) Preservacin de la informacin.
i) Compromiso con la mejora continua.
j) Entorno de trabajo basado en procesos y compatible con otros modelos de
gestin aplicados a la industria y dems sectores productivos.
k) Desarrollo de procesos que garantizan la confidencialidad, seguridad e
integridad de la informacin.
l) Colaboradores identificados con la filosofa de la organizacin.
21
2.4 Etapas para el desarrollo de un Sistema de Gestin de Seguridad de la

Informacin.
En el desarrollo e implementacin del SGSI se pueden identificar al menos cinco

etapas, las cuales contemplan desde el anlisis de requerimientos hasta su
seguimiento y retroalimentacin.
En la figura 2.2 se muestra una propuesta que se ajusta a las necesidades y

requerimientos de cualquier organizacin en funcin del desarrollo de un modelo
basado en el estndar ISO/IEC 27001:2005. En esta se identifican las siguientes
etapas:
a) Fase 1: Revisin de requerimientos del estndar.

En la fase 1 deben analizarse los requerimientos del estndar en la perspectiva
del diagnstico que deber realizarse en la organizacin y los requerimientos del
SGSI. Bsicamente consiste en identificar las etapas del estudio que ya han sido
definidas en este apartado y establecimiento de la estrategia para su desarrollo.
Revisin de
requerimientos
del estndar
Diagnstico de la
organizacin
Propuesta de
solucin y plan de
implementacin
Implementacin
Retroalimentacin
y monitoreo
Figura 2.2 Etapas de desarrollo de un SGSI.

22
b) Fase 2: Diagnstico de la organizacin.

El diagnstico de la organizacin comprende la aplicacin de tcnicas de anlisis
orientadas al estudio documental, observaciones y prcticas dentro de la
organizacin; para tal propsito se define la metodologa a seguir y como
resultado las fortalezas y debilidades de la organizacin en cuanto a seguridad de
la informacin. Esta etapa brinda las pautas para establecer las recomendaciones
que deber considerar y/o implementar la organizacin. Comprende adems la
valoracin de riesgos de seguridad para la organizacin y se define el modelo de
gestin de seguridad de la informacin y manual de polticas de seguridad
correspondiente.
c) Fase 3: Propuesta de solucin

En esta etapa y considerando los resultados de la fase de diagnstico, se define
un plan de solucin e implementacin, identificando cada una de las etapas que
debern desarrollarse cronolgicamente y adems las estrategias para su
ejecucin.
d) Fase 4: Implementacin
La fase de implementacin se realiza en base al respectivo plan de
implementacin, indicando los resultados de cada fase de desarrollo en sus
fortalezas y aspectos de mejora, as como el plan de inversin ejecutado, esta
fase es propia del proyecto en ejecucin e indispensable para el anlisis posteriori
de las fortalezas y debilidades del proceso.
e) Fase 5: Retroalimentacin y monitoreo

La retroalimentacin y monitoreo es clave del proceso continuo del modelo PDCA
que garantiza la mejora continua de los procesos y donde se integran las etapas
del SGSI orientadas a la revisin del SGSI, procesos de auditora y mejora
continua y responsabilidades. Esta etapa permite la identificacin de aspectos de
mejora y ajustes al proceso.
23
CAPTULO III. DIAGNSTICO DE FUSALMO
3.1 Contexto y capacidad instalada de FUSALMO

La Institucin desarrolla todos sus programas en sus modernas y amplias instalaciones
Polideportivos y Multigimnasio Don Bosco ubicadas en tres de las principales zonas del
pas: San Miguel, Santa Ana y Soyapango, en donde semanalmente se atienden un
promedio de 7,500 nios, nias y jvenes en los distintos programas; en la tabla 3.1 se
mencionan las instalaciones y algunos de sus beneficiarios.
Tabla 3.1 Polideportivos y Multigimnasio

UBICACIN
SOYAPANGO
SAN MIGUEL
SANTA ANA
INFRAESTRUCTURA
Polideportivo Plaza juvenil
Espaa
Multigimnasio Don Bosco
Polideportivo
Centro Juvenil Don Bosco
Polideportivo
BENEFICIARIOS
9 escuelas pblicas (incluye
instituciones en Ciudad
Delgado)
11 escuelas publicas
6 escuelas publicas
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la

Fundacin e informacin disponible en el sitio web oficial de la Fundacin
3.1.1 Programas y proyectos
Los programas y proyectos de FUSALMO se concentran en 5 reas de apoyo detalladas

en la tabla 3.2, y en las tablas 3.3, 3.4 y 3.5 se muestran algunos resultados y beneficios
de los mismos.
Tabla 3.2 Programas y proyectos dirigidos por la Fundacin.

REA DE APOYO
PROYECTO
Educacin
Complementaria
Programa Integral Juvenil

Don Bosco (PIJDB)
DESCRIPCIN
Programa de capacitacin a jvenes de
tercer ciclo en temas de tecnologa,
educacin fsica-deportes, cultura de
paz, entre otros.
Programa de capacitacin a docentes de
los centros escolares en temas de
psicopedagoga, salud mental, entre
otros.
24
REA DE APOYO
Educacin
Complementaria
Gestin sociolaboral
Proyectos
Especiales
Recreacin
Pastoral
PROYECTO
DESCRIPCIN
Programa de atencin en la relacin
Centro de Atencin
familiar y la comunidad mediante
Integral a la Familia
orientacin espiritual, psicolgica, apoyo
(CAIF)
comunitario, entre otros.
Programa de formacin en el uso y
Tecnologa e Innovacin aplicacin de TICs, enseanza del
idioma Ingls y valores humanos.
Orientacin en el proceso de integracin
Intermediacin laboral
laboral y bsqueda de oportunidades.
Programa de formacin de jvenes en
Emprendedurismo social diseo de proyectos comunitarios y
promocin de valores.
Formacin de jvenes emprendedores
Emprendedurismo juvenil
en la elaboracin de plan de negocios y
econmico
su desarrollo.
Proyectos especficos de capacitacin
(diseo
web,
mantenimiento
de
Jvenes creando futuro
computadoras, diseo grfico, entre
otros)
Orientacin para la prevencin y
Prevencin de la Violencia disminucin de la violencia en centros
desde el Sector Educacin escolares mediante el manejo de
(PREVISE)
conflictos, capacidad de mediacin, entre
otros.
Fortalecimiento de las
organizaciones y
Formacin en liderazgo juvenil y
expresiones juveniles
reconocimiento
de
organizaciones
locales para la
juveniles
para
su
formacin
y
convivencia en el
participacin comunitaria.
Municipio de San Salvador
Formacin en actividades artsticas y
Escuela de artes
organizacin de festivales y talleres.
Formacin tcnico deportiva y educacin
en valores, as como desarrollo de
Escuelas deportivas
prcticas deportivas orientadas a la sana
convivencia.
Programa educativo-pastoral, catequesis
Polioratorio FUSALMO
sacramental
y
relaciones
interpersonales.
Espacio de anlisis, discusin y
aprendizaje para el fortalecimiento de
Red de juventud
valores y actitudes de liderazgo
personal.
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la

Fundacin e informacin disponible en el sitio web oficial de la Fundacin
25
Tabla 3.3 Resumen de atencin a beneficiarios de FUSALMO ao 2011
PROGRAMA
Programa Integral Juvenil
DON BOSCO. (PIJDB)
ATENCION A LA
FAMILIA Y JOVENES
CON PROBLEMAS DE
APRENDIZAJE
HABILITANDO
OPORTUNIDADES PARA
LA PAZ Y EL EMPLEO
(HOPE)
APOYO AL PIJDB
COMPONENTE
BENEFICIARIO
COSTO AL
BENEFICIARIO
APOYO FINANCIERO
Computacin
Cultura de Paz
Deportes
Apoyo psicopedaggico
Psicolgico
Escuela para padres
-Proyectos comunitarios
Computacin Ingles,
Cultura de paz,
Orientacin vocacional y
profesional Apoyo en
busca de empleo
4,500 Alumnos
(30 escuelas
publicas)
Sin costo
Programa institucional de gestin

propia
Sin costo
CESAL-Andaluca
Sin costo
Fundacion PESTALOZZI SUIZA
Sin costo
CESAL -AECID
Arte, cultura y empleo
400 alumnos de
bachillerato
4,500 Alumnos
(30 escuelas
publicas)
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la Fundacin e informacin disponible en el sitio
web oficial de la Fundacin
26
Tabla 3.4 Reporte de estadsticas de atencin a beneficiarios de FUSALMO ao 2011
PROGRAMA
ESCUELAS DEPORTIVAS
Transferencia tecnolgica para

empleabilidad de jvenes en
riesgo
MULTIGIMNASIO Educacin en
tiempo libre
Emprendedores Sociales
Programa de CESAL
PIJDB Soyapango
COMPONENTE
No. DE
BENEFICIARIOS
MUJERES
HOMBRES
EDADES
AEROBICOS
68
67
Desde 27 a 62 aos
ATLETISMO
FUTBOL
30
35
16
0
14
35
Desde 8 a 45 aos
Desde 7 a 12 aos
TAEKWONDO
PATINAJE
64
30
6
27
58
3
Desde 8 a 23 aos
Desde 7 a 16 aos
Deporte, arte y
recreacin
80
12
68
18 a 25 aos
Escuela de Msica
28
21
6-43
Tae Kwon Do
44
35
6-25
Badminton
10
8-21
Gimnasio Pesas
160
40
120
16-47
Cardiovascular
Emprendedores
sociales
Aula Animada
24
22
18-40
43
17
26
14-23
79
22
57
Escuela de Padres
y Madres
1.150
900
250
Bachillerato
240
97
143
16 - 20 aos
6.7,8, 9
2562
1276
1286
12-17 aos de edad
27
Tabla 3.5 Reporte de estadsticas de atencin a beneficiarios FUSALMO ao 2009
PROGRAMA
COMPONENTE
No. DE
BENEFICIARIOS
MUJERES
HOMBRES
EDADES
HOPE Habilitando
Oportunidades Para la
Paz y el Empleo juvenil
Empleabilidad,
HOPE en
Soyapango
38
11
27
16-19 aos
Reinsercin
13
13
12 a 17 aos
Patio de da
15 y 16 aos
Abordaje/acogida
14 a 16 aos
TORNEO FUTSALA
783
81
702
12 a 62 AOS
SACRAMENTAL
TORNEO
BALONCESTO
SCOUTS
120
70
50
10 a 15 AOS
120
18 AOS Y MAS
25
7 a 18 AOS
BREAKDANCE
15
15
14 a 24 AOS
SKATEBOARDING
41
35
7 a 31 AO
BICI EXTREMO
18
18
18 AOS Y MAS
DANZA MODERNA
37
37
18 a 20 AOS
DANZA PIJDB
48
30
18
12 a 16 AOS
7974
3776
4198
BUSCANDO UN
CAMINO
ORATORIA
DEPORTES
EXTREMOS
TOTALES
120
43
18
6
28
Es as como la Institucin tiene impacto en una cantidad significativa de familias y jvenes

que requieren del desarrollo de proyectos integrales para lograr una calidad de vida
superior. Para lograr el esfuerzo conjunto cuenta con socios y aliados comerciales, que
mediante su labor social canalizan parte de sus fondos para que FUSALMO pueda cubrir
las necesidades de los proyectos y programas en marcha. Entre ellos se puede
mencionar:
a)
Fundacin TCS
b)
TIGO El Salvador
c)
Microsoft
d)
Embajada de los Estados Unidos de Amrica
e)
DISZASA S.A de C.V.
f)
Banco HSBC
g)
Almacenes Siman
h)
United States Agency International Development (USAID)
i)
Fundacin Gloria Kriete
j)
Productos Alimenticios DIANA
k)
OXGASA S.A. de C.V.
l)
Agencia Espaola de Cooperacin Internacional para el Desarrollo
m) Entre otros.
De modo que, el desarrollo de una propuesta y posterior implementacin de un sistema

de gestin de seguridad de la informacin, basado en el estndar ISO/IEC 27001:2005,
vendr a generar ms seguridad en los socios y aliados de la Fundacin y mejorar la
gestin y administracin de la informacin. Por lo que con este fin, se realiz la
investigacin con el apoyo directo de la Gerencia de Tecnologa e Innovacin,
dependencia inmediata de la Direccin Ejecutiva, cuya estructura organizativa se presenta
en la figura 3.1.
29
Organigrama de la Gerencia de Tecnologa e Innovacin
Gerencia de Tecnologa e Innovacin
Asistente Administrativo
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Proyectos
en Tecnologia
Soporte Tcnico
Compumovil
Desarrollo de
software/Bases de
Datos
ALDEAS SOS
Pgina Web
CIPI
Proyectos especiales de
autosostenibilidad
Coordinacin Tcnica en la
Calidad e Innovacin
Equipo de consultores
SUPERATE
Figura 3.1 Organigrama de la Gerencia de Tecnologa e Innovacin de FUSALMO
En la figura 3.1 se observan tres niveles jerrquicos organizados en cuatro reas:

Coordinacin
de
proyectos
en
tecnologa,
Proyectos
especiales
de
autosostenibilidad, Coordinacin tcnica en calidad e innovacin y Coordinacin

de recursos tecnolgicos; siendo esta ltima la principal involucrada en el proceso.
3.2 Descripcin de la metodologa de diagnstico.
En el proceso de definicin del SGSI y habiendo establecido como referente el

estndar ISO/IEC 27001:2005 y sus requerimientos; es indispensable la
realizacin de un diagnstico para la Institucin en relacin a la seguridad de la
informacin. Es oportuno sealar que no se han encontrado referencias de una
30
metodologa concreta a desarrollar para este tipo de estudio, por lo que a

continuacin se presenta una metodologa cuyos resultados permiten identificar
las necesidades de la Institucin enfocado a los procesos crticos que sta
desarrolla.
Para este propsito se relacion dos componentes: uno de ellos es los

requerimientos del estndar internacional y el segundo el contexto actual de la
Institucin, aplicando tcnicas orientadas al anlisis documental, observaciones y
prcticas dentro de la misma.
El diagnstico se realiza en base a 39 objetivos y 133 controles definidos en el

estndar, organizados en 11 mbitos o categoras; cada objetivo describe el
propsito, y los controles que le corresponden especifican las condiciones de
realizacin.
Estos controles se orientan no slo a la administracin de la
seguridad de la informacin, sino adems a su planificacin, operativizacin y

retroalimentacin. En la tabla 3.6 se muestran los mbitos y submbitos
relacionados con los controles requeridos en el estndar, los cuales representan a
las variables de anlisis.
Tabla 3.6 mbitos de control de seguridad y controles de seguridad.

Apartado
del
estndar
5
6
mbito
Poltica
de
seguridad
Organizacin
de la seguridad
Submbito
5.1 Poltica de seguridad de la

informacin.
6.1 Organizacin interna
6.2 Entidades externas.
7.1 Responsabilidad por los
Gestin
de activos.
activos
7.2
Clasificacin
de
la
informacin.
8.1 Antes del empleo.
Seguridad de
8.2 Durante el empleo.
los
recursos
8.3 Terminacin o cambio de
humanos
empleo.
Objetivos
de
control
Controles
11
31
Apartado
del
estndar
9
10
11
12
13
mbito
Submbito
Seguridad fsica 9.1 reas seguras.

y del entorno
9.2 Seguridad del equipo.
10.1
Procedimientos
y
responsabilidades operativas.
10.2 Gestin de la entrega del
servicio a terceros.
10.3 Planeacin y aceptacin del
sistema.
10.4 Proteccin contra software
Gestin
de
malicioso y cdigo mvil.
comunicaciones
10.5 Respaldo (Back-up).
y operaciones
10.6 Gestin de seguridad de
redes.
10.7 Gestin de medios.
10.8 Intercambio de informacin.
10.9 Servicios de comercio
electrnico.
10.10 Monitoreo.
11.1 Requerimiento comercial
para el control de acceso.
11.2 Gestin de acceso del
usuario.
11.3
Responsabilidad
del
usuario.
Control
de
11.4 Control del acceso a redes.
acceso
11.5 Control de acceso al
sistema operativo.
11.6 Control de acceso a
aplicaciones e informacin.
11.7 Computacin mvil y
teletrabajo.
12.1
Requerimientos
de
seguridad de los sistemas.
12.2 Procesamiento correcto en
Adquisicin,
las aplicaciones.
desarrollo
y 12.3 Controles criptogrficos.
mantenimiento
12.4 Seguridad de los archivos
de sistemas
del sistema.
12.5 Seguridad en los procesos
de desarrollo y soporte.
12.6 Gestin de vulnerabilidad.
13.1 Reporte de eventos y
Gestin
de debilidades en la seguridad de la
incidentes
de informacin.
seguridad
13.2 Gestin de incidentes y
mejoras en la seguridad.
Objetivos
de
control
Controles
13
10
32
25
16
32
Apartado
del
estndar
14
15
mbito
Submbito
Gestin
de 14.1 Aspectos de la seguridad de
continuidad del la informacin y la continuidad
negocio
del negocio.
15.1
Cumplimiento
con
requerimientos legales.
15.2 Cumplimiento con las
polticas
y
estndares
de
Cumplimiento
seguridad y el cumplimiento
tcnico.
15.3
Consideraciones
de
auditora de los sistemas de
informacin.
TOTAL
Objetivos
de
control
Controles
10
39
133
Fuente: Elaboracin propia a partir de los controles definidos en el estndar ISO/IEC27001:2005
Entre las tcnicas cualitativas y cuantitativas, basadas en los requerimientos del

estndar, que fueron aplicadas en el estudio estn:
a) Entrevista a personal clave y observacin en sitio
b) Herramienta de valoracin de acuerdo a los controles y requerimientos
c) Anlisis grfico mediante la herramienta de Tela de araa o anlisis radial.
d) Benchmarking a empresas que operan en nuestro pas y han implementado un
SGSI, a fin de retomar sus experiencias en la propuesta del SGSI.
e) Adems, un anlisis de riesgos informticos como requerimiento en la
aplicacin del estndar internacional, que tambin forma parte de dicho
sistema.
3.2.1 Entrevista a personal clave y observacin en sitio.
La tcnica de entrevista a personal clave, siendo una herramienta cualitativa se

disea en base a los requerimientos de controles del estndar de referencia,
considerando adems el mbito de actuacin del recurso humano a entrevistar
dentro de la organizacin y su funcin de seguridad de la informacin.
33
Para este propsito se disearon seis modelos de entrevista dirigidas a personal

clave de la organizacin, entre los que se puede mencionar:
a) Direccin Ejecutiva
b) Gerencia de Finanzas y Recaudacin de Fondos
c) Gerencia de Tecnologa e Innovacin
d) Gerencia de Recursos Humanos
e) Coordinacin de Recursos Tecnolgicos
f) Coordinacin de Mantenimiento
Como caracterstica de los modelos de entrevista se destaca adems la consulta

cruzada entre niveles jerrquicos relacionados, accin intencionada como medida
de verificacin o cruce de informacin proporcionada por el recurso humano. De
este modo, cada colaborador entrevistado y desde su perspectiva, brind
informacin acerca de las condiciones de operacin en la Institucin en relacin a
la seguridad de la informacin.
Adicional a la entrevista, se realiz inspecciones en sitio para verificar reas

crticas como el rea de servidores y rea de finanzas. Adems la consulta y
anlisis de documentacin institucional para evidenciar lo declarado en las
entrevistas, tal es el caso de: modelo de entrevista para empleo, contrato
individual de trabajo, reglamento interno de trabajo, inventario de activos
tecnolgicos, bitcora de servicios tcnicos, entre otros.
Para propsitos de presentacin de resultados y no redundancia de informacin, el

modelo de entrevistas se muestra en el Anexo 2 y los resultados de las mismas en
la Tabla 3.22 de resumen de resultados por cada herramienta de anlisis.
34
3.2.2 Herramienta de valoracin de acuerdo a los controles y requerimientos

En respuesta a la necesidad de cuantificar los resultados de la consulta y grado de

cumplimiento con el estndar, se dise una herramienta de valoracin, la cual
integra los requerimientos de controles y objetivos establecidos en el mismo,
adems observaciones o comentarios que brindan una explicacin de las
condiciones de operacin y finalmente dos tipos de valoracin: una valoracin
estndar y una valoracin a las condiciones encontradas en la Institucin.
Para propsitos de anlisis en esta investigacin, ambas valoraciones estn

sujetas a una escala comprendida entre 0 (cero) a 5 (cinco); donde cero
representa la ausencia o nulo cumplimiento de las condiciones para determinado
control definido en el estndar y 5 representa la mxima ponderacin referida a su
total cumplimiento. Dentro de dicha escala se definen tres niveles de puntuacin,
donde 0 (cero) como ya se mencion, representa el no cumplimiento del
requerimiento, un valor entre 1 a 3 representa alguna estrategia implementada
pero no documentada y valoraciones entre 4 5 representan una estrategia
implementada en grado aceptable y documentada.
De este modo, la valoracin estndar est referida al total cumplimiento del

requerimiento y la valoracin a la Institucin en estudio, se define de acuerdo a las
condiciones
encontradas
mediante
la
entrevista,
consulta
documental
observacin en sitio. Estos puntajes asignados a las condiciones en la Institucin

son promediados por criterio o submbito y presentados en la tabla 3.7.
35
Tabla 3.7 Resultados por mbito obtenidos mediante la herramienta de valoracin

Dominio
5.1
6.1
6.2
7.1
7.2
Valoracin Valoracin
Estndar
FUSALMO
5. POLTICA DE SEGURIDAD
POLTICA DE
Proporcionar direccin gerencial y apoyo a la
SEGURIDAD DE LA
seguridad de la informacin en coherencia con los
5
0
INFORMACIN
requerimientos comerciales, leyes y regulaciones.
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
ORGANIZACIN
Administrar la seguridad de la informacin dentro
5
0
INTERNA
de la organizacin.
Mantener la seguridad de la informacin y los
ENTIDADES EXTERNAS medios de procesamiento de la organizacin a los
5
1
cuales entidades externas tienen acceso.
7. GESTIN DE ACTIVOS
Control
Objetivo
RESPONSABILIDAD POR Lograr y mantener la proteccin apropiada de los

LOS ACTIVOS
activos de la organizacin.
CLASIFICACIN DE LA
INFORMACIN
8.1
ANTES DEL EMPLEO
8.2
DURANTE EL EMPLEO
8.3
FINALIZACIN O
CAMBIO DE EMPLEO
Asegurar que la informacin reciba un nivel de

proteccin apropiado.
No se tiene una poltica de seguridad

documentada, divulgada o en proceso de revisin.
Existe una organizacin, pero no est establecida la
responsabilidad en la seguridad de la informacin.
No se han identificado los riesgos. Hay evidencia de
medidas de seguridad restrictivas en el acceso,
pero no estn formalmente documentadas.
Existe un inventario de los equipos y una asignacin

de los mismos desde la contratacin. No existe un
reglamente de uso de los activos.
Est definida las reas crticas pero no existe un

sistema de etiquetado y manejo de informacin.
8. SEGURIDAD DEL RECURSO HUMANO

Asegurar que los empleados, contratistas y
terceros conozcan sus responsabilidades y sean
idneos para los roles para los cuales se les
5
considera y reducir el riesgo de robo, fraude o mal
uso de los medios.
Asegurar que todos los empleados, contratistas y
terceros estn al tanto de las amenazas, sus
responsabilidades y obligaciones, preparados para
5
apoyar la poltica de seguridad en su trabajo
normal y reducir los riesgos del error humano.
Asegurar que los empleados, contratistas y
terceros salgan de la organizacin o cambien de
empleo de manera ordenada.
Observacin
No se define responsabilidad sobre la seguridad en

esta etapa, sin embargo se realiza investigacin del
perfil de los candidatos. La confidencialidad se
contempla nicamente como clusula de contrato
de trabajo.
No existe una poltica de seguridad, ni acuerdos de
confidencialidad entre las partes. No se han
establecido procedimientos disciplinarios en casos
de violacin de la seguridad de la informacin, ni
capacitacin en ste mbito.
Se ha implementado medidas de seguridad en la
finalizacin del empleo, hay evidencias de
devolucin de activos mediante finiquito, pero
estos no estn documentados en un manual de
procedimientos.
36
Dominio
9.1
9.2
Control
Valoracin Valoracin
Estndar
FUSALMO
9. SEGURIDAD FISICA Y DEL ENTORNO
Objetivo
Observacin
AREAS SEGURAS
Evitar el acceso fsico no autorizado, dao o

interferencia al local y la informacin de la
organizacin.
Se identificaron debilidades en el permetro fsico

de las reas de procesamiento de informacin,
especialmente en las reas educativas. El rea de
servidores est debidamente protegida en cuanto a
acceso, mas no ante desastres naturales. Cuentan
con sistema contra incendios en algunas reas
clave.
SEGURIDAD DEL
EQUIPO
Evitar la prdida, dao, robo o compromiso de los

activos y la interrupcin de las actividades de la
organizacin.
Las instalaciones no cumplen con todas las medidas

de seguridad requeridas en caso de desastres.
Los equipos reciben mantenimiento en caso de
falla. Se tiene controles sobre el uso de los equipos
fuera de las instalaciones y en su disposicin final.
10. GESTIN DE COMUNICACIONES Y OPERACIONES
10.1
10.2
10.3
10.4
No se dispone de procedimientos documentados,

sin embargo se tiene bitcora para el control y
registro de cambios en los sistemas. Las pruebas de
nuevos sistemas se realizan de manera aislada y en
periodos especficos de prueba.
Implementar y mantener el nivel de seguridad de

la informacin y entrega del servicio en lnea con
los contratos de entrega del servicio de terceros.
No se tienen controles o auditorias sobre los

servicios brindados por terceros.
Minimizar el riesgo de fallas en los sistemas.
Se monitorea la capacidad de los sistemas y se

realizan diferentes niveles de prueba de los nuevos
sistemas previo a su implementacin.
Proteger la informacin del software y cdigo

mvil.
Se dispone de un firewall y el cdigo mvil debe ser

autorizado.
RESPONSABILIDADES Y
Asegurar la operacin correcta y segura de los
PROCEDIMIENTOS DE
medios de procesamiento de la informacin.
OPERACIN
GESTION DE LA
ENTREGA DEL
SERVICIO DE TERCEROS
PLANEACION Y
ACEPTACION DEL
SISTEMA
PROTECCION CONTRA
CODIGOS MALICIOSO Y
MOVIL.
10.5
COPIA DE RESPALDO
10.6
GESTION DE
SEGURIDAD DE REDES
Mantener la integridad y disponibilidad de los

servicios de procesamiento de informacin y
comunicaciones.
Asegurar la proteccin de la informacin en redes y
la proteccin de la infraestructura de soporte.
Se realizan procedimientos de Back up semanales

de informacin de las reas crticas. Sin embargo
no est documentada una poltica de respaldo.
Este servicio no est garantizado ante fallas
externas y no ha sido calificado por la Fundacin.
37
Dominio
Control
Valoracin Valoracin
Estndar
FUSALMO
Objetivo
10.7
GESTION DE MEDIOS
Evitar la divulgacin, modificacin, eliminacin o

destruccin no autorizada de los activos y la
interrupcin de las actividades comerciales.
10.8
INTERCAMBIO DE
INFORMACION
Mantener la seguridad de la informacin y

software intercambiados dentro de una
organizacin y con cualquier entidad externa.
10.9
SERVICIOS DE
COMERCIO
ELECTRONICO
Garantizar la seguridad de los servicios de

comercio electrnico y su uso adecuado.
10.10
MONITOREO
Detectar actividades de procesamiento de la

informacin no autorizadas.
11.1
11. CONTROL DE ACCESO

REQUERIMIENTO
COMERCIAL PARA EL Controlar el acceso a la informacin
5
CONTROL DEL ACCESO
11.2
GESTIN DEL ACCESO

DEL USUARIO
Asegurar el acceso del usuario autorizado y evitar

el acceso no autorizado a los sistemas de
informacin.
11.3
RESPONSABILIDADES
DEL USUARIO
Evitar el acceso de usuarios no autorizados, y el

compromiso o robo de la informacin y los medios
de procesamiento de la informacin.
CONTROL DE ACCESO A
Evitar el acceso no autorizado a los servicios en red
REDES
11.4
Observacin
No se tiene una poltica ni medidas de seguridad en
relacin al uso de medios extrables o manipulacin
e intercambio de informacin. La informacin de
Back Up es custodiada.
Se ha implementado medidas de seguridad para el
intercambio interno de la informacin. No se
tienen polticas o procedimientos orientados al
intercambio externo.
No se realizan operaciones comerciales en lnea
debido a que la infraestructura actual no permite
garantizar la seguridad de la informacin.
No se realizan auditoras informticas y no se tiene
procedimientos de monitoreo establecidos. No
obstante se monitorea las operaciones en redes y
reas crticas como contabilidad. Se lleva registro
en bitcora acerca de las operaciones de los
sistemas.
No existe una poltica de control de acceso
documentada.
Existe un procedimiento no documentado para la
inscripcin y suspensin de acceso a los sistemas
de informacin; la asignacin de privilegios se
realiza mediante un proceso formal.
Se brinda recomendaciones al usuario para el buen
uso del equipo y la seguridad de las sesiones y
contraseas, incluso cuando los equipos estn
solos, pero stas no estn documentadas ni
divulgadas entre todos los usuarios.
Los usuarios tienen restricciones de acceso por
configuracin de firewall y slo pueden conectarse
a los sistemas desde los equipos autorizados.
38
Dominio
11.5
11.6
11.7
12.1
12.2
12.3
12.4
12.5
12.6
Control
Objetivo
Valoracin
Estndar
Valoracin
FUSALMO
Observacin
Los accesos a los sistemas estn controlados por

contrasea mediante tcnica autenticada de
5
4
usuario y restricciones de acceso. En reas crticas
se implementa cierre de sesin por inactividad.
CONTROL DE ACCESO A
No existe una poltica de control de acceso, sin
Evitar el acceso no autorizado a la informacin
APLICACIONES E
5
1
embargo se implementan medidas restrictivas de
contenida en los sistemas de aplicacin
INFORMACIN
acuerdo a las funciones del usuario.
No existe una poltica para medios mviles, sin
Garantizar la seguridad de la informacin cuando
COMPUTACIN MVIL
embargo todo dispositivo que se conecte a la red
se utilice medios de computacin mvil y tele5
1
Y TELE-TRABAJO
debe ser autorizado y controlado para su
trabajo
funcionamiento.
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
REQUERIMIENTOS DE
SEGURIDAD DE LOS
Garantizar que la seguridad sea una parte integral
No estn identificados los requerimientos de
5
0
SISTEMAS DE
de los sistemas de informacin
seguridad para los sistemas existentes y los nuevos.
INFORMACIN
PROCESAMIENTO
No se han implementado mecanismos de
Evitar errores, prdida, modificacin no autorizada
CORRECTO EN LAS
5
0
validacin de los datos de procesamiento de
o mal uso de la informacin en las aplicaciones.
APLICACIONES
informacin.
Proteger la confidencialidad, autenticidad o
No se ha establecido una poltica como tal, pero se
CONTROLES
integridad de la informacin a travs de medios
5
3
implementa controles criptogrficos para proteger
CRIPTOGRFICOS
criptogrficos
la informacin.
Se han implementado medidas para restringir los
SEGURIDAD DE LOS
derechos de usuario para instalar software no
ARCHIVOS DEL
Garantizar la seguridad de los archivos del sistema
5
3
autorizado. Los datos de respaldo se realizan para
SISTEMA
las reas crticas y estos son resguardados.
SEGURIDAD EN LOS
Se han implementado algunas medidas de
PROCESOS DE
Mantener la seguridad del software e informacin
seguridad en los procesos de desarrollo y prueba
5
3
DESARROLLO Y
del sistema de aplicacin
de sistemas; todas las modificaciones requieren
SOPORTE
autorizacin.
GESTIN DE LA
La informacin relativa a los aspectos tcnicos se
Reducir los riesgos resultantes de la explotacin de
VULNERABILIDAD
5
2
registra en bitcora, pero sta no es utilizada como
vulnerabilidades tcnicas publicadas
TCNICA
fuente para identificacin de vulnerabilidades.
CONTROL DE ACCESO
AL SISTEMA
OPERATIVO
Evitar el acceso no autorizado a los sistemas

operativos
39
Valoracin Valoracin
Estndar
FUSALMO
13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
Dominio
Control
13.1
REPORTE DE EVENTOS
Y DEBILIDADES EN LA
SEGURIDAD DE LA
INFORMACIN
13.2
GESTION DE
INCIDENTES Y
MEJORAS EN LA
SEGURIDAD DE LA
INFORMACIN
Asegurar que se aplique un enfoque consistente y

efectivo a la gestin de la seguridad de la
informacin.
No existe una gestin de incidentes como tal; sin

embargo su ocurrencia ha forzado la conciencia y la
implementacin de medidas preventivas ante
estos. Los riesgos no son cuantificados.
14.1
SEGURIDAD DE LA
INFORMACIN Y
GESTIN DE
CONTINUIDAD DEL
NEGOCIO
14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO

Contrarrestar las interrupciones de las actividades
y proteger los procesos comerciales crticos de los
efectos de las fallas o desastres importantes en los
5
1
sistemas de informacin y asegurar su reanudacin
oportuna.
15. CUMPLIMIENTO
Se han identificado las reas crticas del negocio

pero no se tienen planes de continuidad del mismo.
15.1
CUMPLIMIENTO DE
REQUERIMIENTOS
LEGALES
Evitar violaciones de cualquier ley, obligacin

reguladora o contractual y de cualquier
requerimiento de seguridad.
Se rinde cuentas a travs de procesos de auditora

externa ante los organismos reguladores de
licencias y derechos de autor. No existe una
adopcin de regulaciones especficas.
15.2
15.3
Objetivo
Asegurar que la informacin acerca de los eventos

y debilidades en la seguridad de la informacin
asociados con los sistemas de informacin, sea
comunicada de manera que permita tomar una
accin correctiva oportuna.
Observacin
No existe un procedimiento formal para reportar

incidentes de seguridad de la informacin, ni una
cultura de monitoreo por parte de todos los
usuarios.
CUMPLIMIENTO CON
LAS POLTICAS,
A pesar no haber una regulacin, la administracin
ESTNDARES DE
Asegurar el cumplimiento de los sistemas con las
es responsable en la implementacin y monitoreo
5
3
SEGURIDAD Y
polticas y estndares de seguridad organizacional.
de los sistemas de informacin acorde a los
REQUERIMIENTOS
lineamientos institucionales.
TCNICOS
CONSIDERACIONES DE
Maximizar la efectividad y minimizar la
AUDITORA DE LOS
interferencia del proceso de auditora de los
5
0
No se realiza auditoria informtica
SISTEMAS DE
sistemas de informacin.
INFORMACIN
Fuente: Elaboracin propia a partir de investigacin realizada en FUSALMO aplicando herramienta de valoracin cuantitativa y los
requerimientos del estndar ISO/IEC 27001:2005.
40
3.2.3 Anlisis grfico mediante herramienta de Tela de araa o grfico

radial.
El anlisis grfico mediante la tela de araa o anlisis radial, se fundamenta en los

resultados cuantitativos de la herramienta de valoracin descrita en el apartado
3.2.2, permitiendo visualizar los mbitos ms dbiles, as como las fortalezas en
relacin a los requerimientos del estndar de referencia.
Por tanto, en las figuras 3.2, 3.3 y 3.4 se muestran las brechas entre el
requerimiento del estndar y lo observado, las cuales estn representadas por los
puntos ms cercanos al centro del grfico. De modo que, se destaca la necesidad
de iniciar acciones de fortalecimiento con el propsito de eliminar estas brechas
hacia un proceso de implementacin del modelo de seguridad de la informacin.
En la figura 3.2 se identifican algunas reas crticas con indicadores bajos:

a) Polticas
b) Organizacin de la seguridad
c) Procesos internos con usuarios
d) Gestin de la entrega del servicios de terceros
Los dems mbitos representados muestran algn grado de avance de gestin y

en su mayora son correspondientes con la ejecucin de procesos.
En la figura 3.3, se observa la valoracin de los aspectos tcnicos y operativos de

la seguridad de la informacin, donde se destacan tres necesidades:
a) la definicin de los requerimientos para el control de acceso para los
usuarios,
b) el control de acceso a las aplicaciones e informacin;
c) y monitoreo.
41
Los literales a) y b) estn vinculados directamente a la identificacin de riesgos

y las polticas que debern implementarse en el corto y mediano plazo. En
conjunto los tres elementos se visualizan desde una perspectiva de definicin
de una poltica de seguridad y los controles necesarios para la operativizacin
y garanta de seguridad en las operaciones.
RESULTADOS DE VALORACIN POR CRITERIOS DEL ESTANDAR

ISO/IEC27001:2005
AMBITOS 5, 6, 7, 8, 9 Y 10
DIAGNSTICO FUSALMO 2012
5. POLTICA DE SEGURIDAD
DE LA INFORMACIN
5
10.3 PLANEACION Y
6.1 ORGANIZACIN INTERNA
4.5
ACEPTACION DEL SISTEMA
4
3.5
10.2 GESTION DE LA
3
6.2 ENTIDADES EXTERNAS
ENTREGA DEL SERVICIO DE
2.5
TERCEROS
2
1.5
10.1 RESPONSABILIDADES Y
1
7.1 RESPONSABILIDAD POR
PROCEDIMIENTOS DE
0.5
LOS ACTIVOS
OPERACION
0
9.2 SEGURIDAD DEL EQUIPO
9.1 AREAS SEGURAS

8.3 FINALIZACIN O CAMBIO
DE EMPLEO
7.2 CLASIFICACIN DE LA
INFORMACIN
8.1 ANTES DEL EMPLEO

8.2 DURANTE EL EMPLEO
Figura 3.2: Resultados de valoracin de los mbitos 5, 6, 7, 8, 9 y 10
42
RESULTADOS DE VALORACIN POR CRITERIOS DEL ESTANDAR ISO/IEC27001:2005

AMBITOS 10 Y 11
10.4 PROTECCION CONTRA
CODIGOS MALICIOSO Y
MOVIL.
11.6 CONTROL DE ACCESO
5
10.5 COPIA DE RESPALDO
A APLICACIONES E
4.5
INFORMACIN
4
3.5
10.6 GESTION DE
3
AL SISTEMA OPERATIVO
SEGURIDAD DE REDES
2.5
2
1.5
1
10.7 GESTION DE MEDIOS
0.5
A REDES
0
11.3 RESPONSABILIDADES
DEL USUARIO
11.2 GESTIN DEL ACCESO

DEL USUARIO
11.1 REQUERIMIENTO
COMERCIAL PARA EL
CONTROL DEL ACCESO
10.8 INTERCAMBIO DE
INFORMACION
10.9 SERVICIOS DE
COMERCIO ELECTRONICO
10.10 MONITOREO
Figura 3.3: Resultados de valoracin de los mbitos 10 y 11
En la figura 3.4, se identifica nuevamente tres factores crticos de mejora

relacionados con los incidentes de seguridad;
a) Auditora de los sistemas de informacin.

b) Gestin de incidentes y mejoras en la seguridad.
c) Requerimientos de seguridad y monitoreo de los sistemas y aplicaciones.
43
RESULTADOS DE VALORACIN POR CRITERIOS DEL ESTANDAR ISO/IEC27001:2005

AMBITOS 11 ,12, 13, 14 Y 15
11.7 COMPUTACIN MVIL Y TELETRABAJO

15.3 CONSIDERACIONES DE
12.1 REQUERIMIENTOS DE
5
AUDITORA DE LOS SISTEMAS DE
SEGURIDAD DE LOS SISTEMAS DE
4.5
INFORMACIN
INFORMACIN
4
3.5
3
2.5
2
1.5
1
0.5
0
15.2 CUMPLIMIENTO CON LAS

POLTICAS, ESTNDARES DE
SEGURIDAD Y REQUERIMIENTOS
15.1 CUMPLIMIENTO DE
REQUERIMIENTOS LEGALES
12.2 PROCESAMIENTO CORRECTO EN

LAS APLICACIONES
12.3 CONTROLES CRIPTOGRFICOS
14.1 ASPECTOS DE SEGURIDAD DE LA

INFORMACIN DE LA GESTIN DE LA
CONTINUIDAD COMERCIAL
12.4 SEGURIDAD DE LOS ARCHIVOS

DEL SISTEMA
13.2 GESTION DE INCIDENTES Y

MEJORAS EN LA SEGURIDAD DE LA
INFORMACIN
13.1 REPORTE DE EVENTOS Y
DEBILIDADES EN LA SEGURIDAD DE
LA INFORMACIN
12.5 SEGURIDAD EN LOS PROCESOS

DE DESARROLLO Y SOPORTE
12.6 GESTIN DE LA
VULNERABILIDAD TCNICA
Figura 3.4: Resultados de valoracin de los mbitos 11, 12, 13, 14 y 15
3.3 Anlisis de riesgos
La implementacin de un SGSI demanda el establecimiento de una metodologa

de anlisis de riesgos que permita identificar las vulnerabilidades y amenazas que
debern considerarse en el seguimiento y mejora del mismo. Por lo que en esta
investigacin
el
anlisis
se
realiz
mediante
la
herramienta
OCTAVE
44
(Operationally Critical Threat, Asset, and Vulnerability Evaluation) que se describe

a continuacin.9
3.3.1 Metodologa OCTAVE
El mtodo OCTAVE es una estrategia de valoracin subjetiva basada en riesgos y

tcnicas de planificacin de la seguridad; desarrollado por el Coordination Center
(CERT) del Instituto de Ingeniera de Software (Software Engineering Institute) de
la Universidad Carnegie Mellon de Pensilvania, Estados Unidos.
Bsicamente aplica un enfoque de tres fases para anlisis de riesgos en tres

perspectivas: organizacin, tecnologa y prcticas enfocadas a la seguridad. Es
por esta razn que presenta idoneidad para su aplicacin en este anlisis, ya que
integra una visin global de las necesidades de seguridad de la informacin.
Las tres fases que componen el mtodo son:

a) Identificar los elementos crticos y las amenazas a los activos.
b) Identificacin de las vulnerabilidades, tanto organizativas y tecnolgicas,
que se exponen a las amenazas y ponen en riesgo a la organizacin.
c) Desarrollo de una estrategia de proteccin basada en la prctica y los
planes de mitigacin de riesgos para apoyar la misin de la organizacin.
En esta metodologa, los activos incluyen personas, hardware y software,

informacin y sistemas; los cuales se seleccionan segn la importancia que
representan para los objetivos de la organizacin, las posibles amenazas y
vulnerabilidades asociadas a estos y el impacto de un problema asociado al
activo.
http://www.cert.org/octave/octavemethod.html
45
La metodologa parte de un proceso consultivo al personal involucrado para

explotar el conocimiento de los mltiples niveles de la organizacin, sus prcticas
y recursos tecnolgicos, permitiendo:
a) Identificar los activos crticos
b) Identificar las amenazas para estos activos
c) Identificar vulnerabilidades
d) Identificar el impacto que puedan tener las prdidas de confidencialidad,
integridad y disponibilidad de los activos.
e) La probabilidad de ocurrencia de una falla
f) Y los niveles de riesgo.
De modo que, la identificacin de los riesgos a los activos ms crticos se emplea

para priorizar reas de mejoramiento y estrategias de seguridad para la
organizacin. Por tanto, a continuacin se desarrollan estas etapas, retomando
para ello el proceso consultivo antes descrito en este captulo.
3.3.1.1 Identificacin de los activos crticos de la Institucin
A partir del inventario de activos de FUSALMO, en la tabla 3.8 se muestran los

activos de informacin de la Fundacin, clasificados en cuatro categoras.
Tabla 3.8 Descripcin de activos de informacin de FUSALMO

Categora
SISTEMAS
INFORMACION
a)
b)
c)
d)
e)
Activos
Correo Institucional Hosting Externo (hostgator)
Pgina Web Hosting Externo.
Sistema Administrativo Financiero. (SAF)
Sistema de Recursos Humanos.
Office 365. (En Ejecucin)
a) Base de Datos Institucional. (SIIPDB)

b) Sistema de Intermediacin Laboral.
c) Sistema de Fomento al Emprendedurismo.
46
Categora
SOFTWARE
HARDWARE
Activos
a) 300 Licencias Windows XP.
b) 150 Licencias Windows 7.
c) 350 Licencias de Office 2010.
d) 250 Licencias de Office 2007
e) 24 Licencias Office 2011 MAC
f) 20 Licencias OS X Snow Leopard (MAC)
g) 4 Licencias OS X Mountain Lion (MAC)
h) 4 Licencias Adobe Maste Collection
i) 350 Licencias Nod32 Endpoint
j) Licencia Windows Server 2003
k) Licencia Windows Server 2008 R2
l) Licencia de MindManager
m) Licencia Visual Studio 2010
n) 2 Licencias Win7-MAK
o) 2 Licencias Windows Vista KMS
p) 2 Licencias Windows Vista MAK
q) 4 Licencias Windows XP profesional
r) 2 Licencias Windows XP Tablet PC Edition
s) Licencia Visual Studio Professional 2008 Edition
t) Licencia Entourage 2008 for MAC
u) Licencia Entourage 2008 for MAC with SP2
v) Expression Web 3.0
w) 2 Licencias Office communicator 2007
x) 2 Licencias Office Multilanguage Packs 2007
y) Licencia Office Multilanguage Packs 2007 service
pack 1
z) 2 Licencias Office professional Plus 2007
aa) Licencia Office professional Plus 2010 MAK
bb) Licencia Office Small Business 2007
cc) Licencia Office XP applications
dd) Licencia Office XP Suites
ee) Licencia Project Professional 2007
ff) Licencia Project Professional 2010 MAK
gg) Licencia Win srv 2008 Data ctr/Itan KMS C
hh) 5 Licencias Windows server 2003
ii) 1 Licencia Windows server 2008
jj) Licencia Windows web/HPC Srv 2008 KMS
kk) Licencia Windows web/HPC Srv 2008 MAK
ll) 4 Licencias Office professional 2003.
Infraestructura de red:
a) 4 Switch 3Com 2250 sfp
b) 3 Switch 3Com 2226 sfp
47
Categora
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
o)
p)
q)
r)
s)
t)
Activos
1 Switch Allied Telesis
7 Switch 3Com 4226T
2 Router Cisco 2600
4 Media Converter
2 Firewall WacthGuard 55e
1 Firewall WacthGuard 550e
4 Cisco Linksys 300n
Servidores:
4 Servidores de red HP / LIEBERT 2KVA
20 Computadoras Notebook (PC Porttil)
183 Computadoras desktop, monitor, teclado,
mouse, cpu.
33 Impresores
4 Scanner
50 UPS
15 Webcam
1 Equipo de diseo grfico: PC, UPS, monitor y
perifricos.
6 Monitores
8 CPU
Fuente: Elaboracin propia a partir del inventario de activos de FUSALMO
Adicional a lo anterior, para propsitos de esta herramienta de anlisis, se

considera activo al personal del rea de Tecnologa e innovacin que tiene acceso
a informacin confidencial, as como tambin el personal del rea contable y
dems usuarios de los sistemas de aplicacin. Luego a partir de la tabla 3.8 se
seleccionan los activos imprescindibles en las operaciones, considerando las
actividades crticas de la Institucin y su dependencia con estos, de modo que se
seleccionan los siguientes:
a) El Sistema Administrativo Financiero (SAF)

Sistema para el registro contable y financiero.
Sistema crtico donde se administra informacin confidencial, capaz de
interrumpir las operaciones comerciales en caso de prdida o manipulacin.
48
b) Servicio de Internet
Servicio externo para todos los clientes y colaboradores.
Servicio crtico para los objetivos educativos y las operaciones de sistemas
internos.
c) Infraestructura de red
Comprende los dispositivos que permiten el funcionamiento de la red (routers,
cables, servidores, switches, etc.), transmisin y direccionamiento informacin.
Crtico en la comunicacin de informacin.
d) Personal del rea de Tecnologa e Innovacin

Recurso Humano que brinda soporte al equipo y a las aplicaciones.
Luego de definir los activos crticos se definen los requerimientos de seguridad

para estos activos crticos en base a tres criterios: Disponibilidad, confidencialidad
e integridad, tal como se muestran en la tabla 3.9.
Tabla 3.9 Requerimientos de seguridad para los activos crticos
ACTIVO
CRTICO
DESCRIPCIN
REQUERIMIENTOS DE SEGURIDAD PARA LOS ACTIVOS

CRITICOS
DISPONIBILIDAD CONFIDENCIALIDAD
INTEGRIDAD
Sistema
para
el
registro contable y
financiero
de
la
Fundacin.
Sistema
Administrativo
Financiero
(SAF)
Sistema
crtico
donde se administra
informacin
confidencial, capaz
de interrumpir las
operaciones
comerciales en caso
de
prdida
o
manipulacin.
Eficiencia en el
procesamiento de
la informacin.
Disponibilidad de la
informacin
para
usuarios
autorizados 24/7.
Autenticacin
de
usuarios para acceder
a la informacin.
Sesiones de acceso
con advertencia de
seguridad
Medidas de proteccin
de sesin de usuario
ausente.
Advertencia
de
seguridad en la
modificacin
de
informacin
por
usuarios
autorizados.
49
ACTIVO
CRITICO
Servicio de
Internet
Infraestructura
de red
Personal de TI
DESCRIPCION
Servicio
externo
para
todos
los
clientes
y
colaboradores.
Servicio crtico para
los
objetivos
educativos y las
operaciones
de
sistemas internos.
Comprende
los
dispositivos
que
permiten
el
funcionamiento de la
red (routers, clables,
servidores, switches,
etc.) y transmisin y
direccionamiento de
informacin. Crtico
en la comunicacin
de informacin.
Es el equipo humano
que brinda soporte al
equipo y a las
aplicaciones de la
institucin

CRITICOS
DISPONIBILIDAD
CONFIDENCIALIDAD INTEGRIDAD
Monitoreo
Autenticacin
de Restriccin
de
permanente
del clientes
para
el acceso
segn
servicio
del acceso
a
correo poltica.
proveedor.
institucional
y
sesiones de usuario.
Aplicativos de SAF
Disponibilidad para
y correo electrnico
usuarios
Proteccin de datos y debern viajar en
autorizados 24/7
cuentas de usuario.
forma
segura,
mediante
un
Eficiencia en el
SSL(security
trfico
de
socket layer)
informacin.
Completa
Restriccin de acceso Poltica
de
disponibilidad
de a
terminales
o respaldo
de
todos los puntos de personal
no configuraciones.
la
infraestructura autorizado.
para
la
Polticas
de
comunicacin
de Evitar manipulacin no proteccin de los
informacin.
autorizada
de
los activos.
equipos
mediante
Disponibilidad del protocolos
seguros
100% 24/7
para el acceso a los
sistemas
de
administracin
de
estos.
Personal
Polticas de seguridad Personal
capacitado
para para garantizar el autorizado
para
dar soporte de TI manejo
de
la cada
rea
disponible al ser informacin.
informtica
requerido
Aplicacin
de
estndares de servicio
Fuente: Elaboracin propia a partir de la metodologa de anlisis OCTAVE y resultados del

diagnstico en FUSALMO
3.3.1.2 Identificacin de las amenazas para los activos crticos
Las amenazas se definen en funcin cuatro categoras:

a) Accin humana relacionada con el acceso fsico
b) Accin humana relacionada con el acceso de red
c) Problemas en los sistemas
d) Otros problemas
50
De tal modo que a cada activo crtico se le relaciona alguno de estos tipos de
amenaza, tal como se muestra en la Tabla 3.10.
Tabla 3.10 Amenazas de seguridad para los activos crticos

ACTIVO CRTICO
DESCRIPCIN
Sistema para el registro contable y
financiero
de
la
Fundacin.
Sistema
Administrativo
Financiero (SAF)
Servicio de Internet
Infraestructura de
red
Personal de TI
AMENAZA
Accin humana relacionada
con el acceso fsico.
Sistema crtico donde se administra

informacin confidencial, capaz de
interrumpir las operaciones comerciales
en caso de prdida o manipulacin.

con el acceso de red.
Servicio externo para todos los clientes

y
colaboradores.
Servicio crtico para los objetivos
educativos y las operaciones de
sistemas internos.

Comprende
los
dispositivos
que
permiten el funcionamiento de la red
(routers, clables, servidores, switches,
etc.) y transmisin y direccionamiento
de
informacin.
Crtico
en
la
comunicacin de informacin.

Es el equipo humano que brinda

soporte al equipo y a las aplicaciones
de la institucin
Otros problemas.
Problemas en los sistemas.

Otros problemas.

Otros problemas.
Otros problemas.
Fuente: Elaboracin a partir de la metodologa de anlisis OCTAVE y resultados del diagnstico en

FUSALMO
3.3.1.3 Identificacin de vulnerabilidades para los activos crticos.
Luego de definir las amenazas, se establecen las vulnerabilidades para cada uno
de los tipos de amenaza, esto se realiza a partir del diagnstico de la Institucin,
donde se identificaron las siguientes debilidades asociadas a stos.
51
a) La Fundacin no ha calificado al proveedor de servicios de redes en la

prestacin de los mismos.
b) No cuenta con procedimientos documentados acerca de las operaciones en
sistemas, respaldos de informacin, reporte de incidentes, auditora, entre
otros.
c) No posee polticas de seguridad de la informacin documentadas en relacin al
acceso a la informacin, gestin de riesgos, entre otros.
d) Las condiciones del rea de servidores es altamente vulnerable, ya que no
cuenta con medidas de seguridad fsica, estructural y normas aplicables ante
desastres naturales o eventos provocados en el debido aseguramiento del
mobiliario y equipo instalado.
e) No se tiene un control de registro de acceso a las reas que reguardan equipo,
tal es el caso de los servidores.
f) Dos personas del rea de TI tienen acceso autorizado al rea de servidores,
sin embargo, no se tienen planes de continuidad que garanticen su
disponibilidad en caso de incidentes y la continuidad del negocio.
A partir de sta informacin, en la tabla 3.11 se presentan las vulnerabilidades con
sus respectivas consecuencias para valoracin de impacto.
Tabla 3.11: Consecuencias de las vulnerabilidades identificadas

Vulnerabilidad
Consecuencia
Saturacin
del
servicio
y
no
a) Los servicios de correo electrnico,
disponibilidad.
acceso a bases de datos y sistemas
Fallo de equipo del proveedor del
internos puede verse interrumpido.
servicio.
b) Suspensin de servicios por falta de
redundancia
cuando
haya
problemas
en
el
proveedor
o
Un solo proveedor del servicio no
necesidad de intervencin interna
calificado por la Fundacin.
de operaciones de mantenimiento.
52
Vulnerabilidad
No existe procedimiento documentado
de Back Up del rea contable o
aplicaciones.
Acceso no controlado a los equipos.
Modificacin no intencionada de la
informacin.
Acceso a informacin no autorizada.
No existe una poltica de acceso a la
red.
Problemas o fallas en los equipos
responsables de la conectividad.
Colapso en los equipos responsables
de la conectividad como resultado de
desastres naturales.
Instalaciones fsicas no seguras para
los activos.
Sabotaje a la red o servidor.
Destruccin de la red o equipo.
Consecuencia
a) Riesgo de ambigedad en la
ejecucin de tareas especficas por
falta
de
procedimientos
documentos.
b) Ausencia de registros de referencia
en la investigacin de incidentes de
seguridad.
c) No
seguimiento
de
medidas
preventivas en base a acuerdos de
buenas prcticas.
a) No definicin de responsabilidad en
la ejecucin de procedimientos y
acceso a la informacin.
b) Falta de compromiso de la alta
direccin
con
el
estricto
cumplimiento de las medidas de
seguridad vigentes.
a) Suspensin de servicios y de la
continuidad del negocio ante daos
como consecuencia de fenmenos
naturales, tal es el caso de
terremotos.
b) Riesgo de prdida total ante
incendios u otro tipo de siniestro.
c) Riesgo
de
prdida
en
la
manipulacin,
operaciones
o
mantenimiento de hardware por
fallos en el montaje de equipo.
Acceso fsico no controlado a

servidores.
Prdidas materiales por manipulacin a) Personal no autorizado podra tener
de equipos en rea de servidores.
acceso al rea de servidores.
Personal no autorizado puede tener
acceso a la red.
Rotacin de personal y prdida de a) Demoras en la respuesta ante
personal capacitado.
incidentes de seguridad.
Fuente: Elaboracin propia a partir de diagnstico de las condiciones de FUSALMO
53
3.3.1.4 Definicin del riesgo.
En funcin de las vulnerabilidades identificadas y tomando en cuenta las

consecuencias de las mismas se establecen los riesgos. Estos se clasifican en
cuatro tipos:
a) Revelacin de informacin crtica
b) Modificacin de informacin crtica
c) Destruccin o prdida de informacin
d) Interrupcin del acceso a informacin importante, software, aplicaciones o
servicios.
Tabla 3.12: Clasificacin de riesgos de las vulnerabilidades identificadas
Vulnerabilidad
Saturacin del servicio y no disponibilidad.
Fallo de equipo del proveedor del servicio.
Un solo proveedor del servicio no
garantizado.
No existe procedimiento documentado de
Back Up del rea contable o aplicaciones.
Modificacin no intencionada de la
informacin.
Acceso a informacin no autorizada.
No existe una poltica de acceso a la red.
Problemas o fallas en los equipos
responsables de la conectividad.
Colapso en los equipos responsables de la
conectividad como resultado de desastres
naturales.
Instalaciones fsicas no seguras para los
activos.
Sabotaje a la red o servidor.
Destruccin de la red o equipo.
Acceso fsico no controlado a servidores.
Prdidas materiales por manipulacin de
equipos en rea de servidores.
Riesgo
Interrupcin del acceso
Revelacin de informacin crtica
Destruccin o prdida de informacin
Revelacin de informacin crtica
Revelacin de informacin crtica.
Interrupcin de servicios.
Modificacin de informacin crtica
54
Vulnerabilidad
Personal no autorizado puede tener acceso
a la red.
Rotacin de personal y prdida de personal
capacitado.
Riesgo
Modificacin de informacin crtica.
Interrupcin del acceso.
Destruccin o prdida de informacin.
Interrupcin del acceso.
Fuente: Elaboracin propia a partir de diagnstico de las condiciones de FUSALMO
3.3.1.5 Impacto de las vulnerabilidades.

Para valorar el impacto de las vulnerabilidades, se estableci la escala bajo, medio
y alto, as como los umbrales de la misma para cada uno de los activos crticos,
los cuales se presentan en la tabla 3.13. Con esta escala se valor el impacto de
las vulnerabilidades tomando en cuenta las consecuencias y repercusiones en las
operaciones, resultados que se muestran en la tabla 3.16.
Tabla 3.13 Criterios de evaluacin de impacto

Activo Crtico
Sistema
Administrativo
Financiero (SAF)
Servicio de
Internet
Infraestructura de
red
Personal de TI
Criterios de evaluacin de impacto

Alto
Medio
Bajo
El sistema no ser
Los
daos
en Los daos son pocos
funcional,
tendr
sistema
pueden significativos y no
prdida de datos o
reparar en el corto daan la integridad
perder fidelidad la
plazo.
del sistema.
informacin.
No se tiene servicio El
servicio
es Hay problemas de
activo y es imposible la intermitente y no es acceso y cadas de
comunicacin con el accesible para todos servicio, pero este no
exterior
los usuarios
es interrumpido.
La red es inoperante y
Existen puntos de
Existen
problemas
todo los servicios no
red con problemas
de red que puede
estn disponibles para
menores que son
resolverse a corto
ninguna persona en la
resueltos
de
plazo
institucin
inmediato
Los servicios estn
Los servicios y
Los daos son
inaccesibles, o no hay
acceso pueden
mnimos y no causan
personal capacitado o
recuperase a corto
problemas de
autorizado para realizar plazo por el personal consideracin.
las actividades de
existente.
soporte.
Fuente: Elaboracin propia a partir del grado de impacto del riesgo para FUSALMO
55
3.3.1.6 Probabilidad del riesgo (Incidencia).

De acuerdo a esta metodologa, la probabilidad del riesgo debe interpretarse como
la frecuencia de ocurrencia de los riesgos en la institucin en estudio, por tanto no
corresponde a una valoracin matemtica, sino a la frecuencia de incidencia del
riesgo. De tal modo que, en la tabla 3.14 se muestra la probabilidad del riesgo en
funcin de la frecuencia de ocurrencia del mismo.
Tabla 3.14 Criterios de evaluacin de probabilidad de incidentes de seguridad

Valor
Frecuencia de ocurrencia
Alto
Ms de 10 veces por ao
Medio
De 2 a 9 veces por ao
Bajo
Una vez por ao
Fuente: Elaboracin propia a partir de la probabilidad de incidentes de seguridad para FUSALMO
De acuerdo a esta escala y los antecedentes de la Institucin en estudio, se valor

la probabilidad (Incidencia) de los riesgos que se muestran en la Tabla 3.16.
3.3.1.7 Valor cualitativo del riesgo.
La metodologa establece que luego de analizar la probabilidad (Incidencia) de

cada riesgo, se determina el Valor cualitativo del riesgo mediante una matriz de
Probabilidad Impacto (P-I) ya establecida. En la Tabla 3.15 se muestra la
relacin Probabilidad Impacto en escala bajo, medio y alto.
Tabla 3.15: Relacin P-I para determinar el valor cualitativo del riesgo
Impacto
Alto
Medio
Bajo
Probabilidad (Incidencia)
Alto
Medio
Bajo
Alto
Alto
Medio
Alto
Medio
Bajo
Medio
Bajo
Bajo
Fuente: OCTAVE, 10.7 Incorporando la probabilidad en la mitigacin del riesgo.
56
Es as como para determinar el Valor cualitativo del riesgo, ste resulta de la

interseccin de la valoracin de impacto y la probabilidad (Incidencia) asignada a
cada riesgo en los activos crticos, mediante un resultado en escala bajo, medio o
alto; lo cual determinar las consideraciones para la mitigacin de riesgos.
Finalmente, en la tabla 3.16 se muestra en forma integrada la identificacin de

activos crticos, los requerimientos de seguridad de estos activos en funcin de su
disponibilidad,
confidencialidad
integridad;
adems
las
amenazas,
las
vulnerabilidades asociadas a estas amenazas, los riesgos y su impacto e

incidencia.
Como resultado del anlisis de riesgo; se identificaron 5 riesgos con valoracin

baja, 11 con valoracin media y 5 con valoracin alta, tal como se muestra en la
figura 3.5; los cuales brindan pautas a la Institucin en relacin a los riesgos que
es necesario controlar.
Modificacin no intencionada de
informacin.
Acceso no autorizado a la red
Problemas en los equipos de
conectividad.
Colapso en equipo por desastres
naturales.
Instalaciones no seguras para los
activos de red.
Revelacin de informacin crtica al no
haber polticas de acceso a la red.
No hay polticas de acceso.
Destruccion de informacin por
sabotaje a red o servidor.
Interrupcin de servicios por sabotaje a
la red.
Destruccin de red o equipo.
BAJO
Prdidas materiales en servidores

No procedimientos documentados
Saturacin y no disponibilidad del
servicio de internet.
Fallo del equipo de proveedor de
servicio.
Un solo proveedor de internet.
MEDIO
ALTO
RIESGOS
Acceso fsico no controlado a

servidores.
Acceso no autorizado a los servicios
de internet.
Acceso a informacin no autorizada
desde la red.
Rotacin de personal
Perdida de personal capacitado.
Figura 3.5 Identificacin de riesgos para FUSALMO.

57
Tabla 3.16 Resultados de la valoracin de riesgos FUSALMO
ACTIVO
CRTICO

CRITICOS
DESCRIPCIN
DISPONIBILIDAD
Sistema para el
registro contable
y financiero.
Sistema
Administrativo
Financiero
(SAF)
Servicio de
Internet
Sistema crtico
donde
se
administra
informacin
confidencial,
capaz
de
interrumpir
las
operaciones
comerciales en
caso de prdida
o manipulacin.
Eficiencia en el
procesamiento
de la informacin.
Disponibilidad de
la informacin
para usuarios
autorizados 24/7
Servicio externo
para todos los
clientes
y
colaboradores.
Monitoreo
permanente
servicio
proveedor.
Servicio
crtico
para los objetivos
educativos
y
para
las
operaciones de
sistemas
internos.
Disponibilidad
para
usuarios
autorizados 24/7.
del
del
Eficiencia en el
trfico
de
informacin.
CONFIDENCIALIDAD
Autenticacin de
usuarios para acceder
a la informacin.
Sesiones de acceso
con advertencia de
seguridad
Medidas de
proteccin de sesin
de usuario ausente.
Autenticacin
de
clientes
para
el
acceso
a
correo
institucional
y
Proteccin de datos y
cuentas de usuario.
INTEGRIDAD
VULNERABILIDADES
RIESGO
IMPACTO
PROBABILIDAD
(INCIDENCIA)
VALOR
CUALITA
TIVO DEL
RIESGO
Acceso
fsico
no
controlado a servidores.
Modificacin de
informacin
crtica
Medio
Bajo
Bajo
Prdidas materiales por

manipulacin
de
equipos en rea de
servidores.
Interrupcin del
acceso
Alto
Medio
Alto
Modificacin
intencionada
informacin.
Interrupcin del
acceso
Medio
Medio
Medio
Personal no autorizado
puede tener acceso a la
red.
Modificacin de
informacin
crtica
Alto
Bajo
Medio
Otros
problemas
No existe procedimiento
documentado de Back
up del rea contable o
aplicaciones.
Revelacin de
informacin
crtica
Medio
Alto
Alto
Acciones
humanas
relacionada con
el acceso fsico
Accesos no autorizados
a la red
Interrupcin del
acceso
Bajo
Medio
Bajo
Problemas o fallas en
los
equipos
responsables de la
conectividad.
Interrupcin del
acceso
Medio
Medio
Medio
Saturacin del servicio y

no disponibilidad
Interrupcin del
acceso
Alto
Medio
Alto
Colapso en los equipos

responsables de la
conectividad
como
resultado de desastres
naturales.
Interrupcin del
acceso
Alto
Bajo
Medio
TIPOS DE
AMENAZA
Acciones
humanas
relacionada con
el acceso fsico
Advertencia de
seguridad en la
modificacin de
informacin por
usuarios
autorizados.
Restriccin de
acceso segn
poltica
Aplicativos de
SAF y correo
electrnico
debern viajar
en
forma
segura,
mediante
un
SSL(security
socket layer)
Acciones
humanas
relacionadas
con el acceso
de red
Problemas en
los sistemas
Otros
problemas
de
no
la
58
ACTIVO
CRTICO
Servicio de
Internet
Infraestructura
de red
Personal de TI
DESCRIPCIN

CRITICOS
DISPONIBILIDAD
Servicio externo
para todos los
clientes
y
colaboradores.
Monitoreo
permanente
servicio
proveedor.
Servicio
crtico
para los objetivos
educativos
y
para
las
operaciones de
sistemas
internos.
Disponibilidad
para
usuarios
autorizados 24/7.
Comprende los
dispositivos que
permiten el
funcionamiento
de la red
(routers, cables,
servidores,
switches, etc.) y
transmisin y
direccionamiento
de informacin
Es el Recurso
Humano
que
brinda soporte al
equipo y a las
aplicaciones.
del
del
Eficiencia en el
trfico
de
informacin.
Completa
disponibilidad de
todos los puntos
de
la
infraestructura
para
la
comunicacin de
informacin.
Disponibilidad del
100% 24/7.
Personal
capacitado para
dar soporte de TI
disponible al ser
requerido
CONFIDENCIALIDAD
Autenticacin
de
clientes
para
el
acceso
a
correo
institucional
y
Proteccin de datos y
cuentas de usuario.
Restriccin de acceso
a terminales o
personal no
autorizado.
Evitar manipulacin
no autorizada de los
equipos mediante
protocolos seguros
para el acceso a los
sistemas de
administracin de
estos.
Polticas de seguridad
para garantizar el
manejo
de
la
informacin.
Aplicacin
estndares
servicio
de
de
INTEGRIDAD
VULNERABILIDADES
RIESGO
IMPACTO
PROBABILIDAD
(INCIDENCIA)
VALOR
CUALITATI
VO DEL
RIESGO
Fallo de equipo del

proveedor del servicio.
Interrupcin del
acceso
Alto
Medio
Alto
Un solo proveedor del

servicio no calificado
por la Fundacin.
Interrupcin del
acceso
Alto
Alto
Alto
Acceso no controlado a
los equipos.
Destruccin/P
rdida
Medio
Medio
Medio
Instalaciones fsicas no
seguras
para
los
activos.
Destruccin/P
rdida
Alto
Bajo
Medio
Acciones
humanas
relacionadas
con el acceso
de red
Acceso a informacin
no autorizada.
Revelacin de
informacin
crtica
Medio
Bajo
Bajo
Otros
problemas
No existe una poltica

de acceso a la red.
Revelacin de
informacin
crtica
Interrupcin del
acceso
Medio
Medio
Medio
Medio
Medio
Medio
Destruccin de
informacin.
Alto
Bajo
Medio
Interrupcin de
servicios
Alto
Bajo
Medio
Interrupcin del
acceso
Alto
Bajo
Medio
Interrupcin del
acceso
Medio
Bajo
Bajo
Destruccin de
informacin.
Medio
Bajo
Bajo
TIPOS DE
AMENAZA
Restriccin de
acceso segn
poltica
Aplicativos de
SAF y correo
electrnico
debern viajar
en
forma
segura,
mediante
un
SSL(security
socket layer)
Poltica de
respaldo de
configuraciones
Polticas de
proteccin de
los activos
.
Personal
autorizado para
cada
rea
informtica
Otros
problemas
(Continuacin)
Acciones
humanas
relacionadas
con el acceso
fsico
Acciones
humanas
relacionadas
con el acceso
fsico
Acciones
humanas
relacionadas
con el acceso
de red
Otros
problemas
Sabotaje
servidor
red
Destruccin de red o
equipo
Rotacin de personal y
prdida de personal
capacitado
Fuente: Elaboracin a partir de la metodologa de anlisis OCTAVE y resultados del diagnstico en FUSALMO
59
3.4 Anlisis econmico de los incidentes de seguridad
Al analizar econmicamente los incidentes de seguridad, se tom de referencia un

incidente de seguridad identificado y reconocido institucionalmente desde la alta
gerencia, el cual consisti en prdida de informacin confidencial del rea
financiera, debido a faltas de carcter humano y manipulacin de servidores. Este
antecedente permiti aproximar los costos en recurso humano involucrado,
materiales y costos directos o indirectos no cuantificables por su naturaleza, a fin
de determinar el monto econmico que representa para la Institucin, las prdidas
por incidentes de seguridad.
Este incidente signific a la Fundacin:

a) Prdidas econmicas
b) Asignacin de recurso humano dedicado a la recuperacin de informacin.
c) Interrupcin en la continuidad del negocio
d) Inversin en materiales para la restauracin
e) Horas de trabajo-persona extra para el registro de la informacin.
f) Un aproximado de tres meses de trabajo en la recuperacin de la
informacin.
Este incidente dej en evidencia:

a) La necesidad de procedimientos para el resguardo de la informacin crtica
y confidencial.
b) Necesidad de aislamiento de las instalaciones de almacenamiento y
procesamiento de informacin crtica y confidencial.
c) Necesidad de realizar respaldos de informacin de las reas crticas en
forma peridica y frecuente; entre otros.
60
Es as como la Institucin en respuesta a la situacin, se vio en la necesidad

de invertir horas de trabajo y equipo para poder recuperar el respaldo de
informacin segn el detalle de la Tabla 3.17.
Tabla 3.17 Anlisis econmico del incidente descrito
Personal Asignado
Gerencia Contable
Auxiliar Contable
Gerente de TI
Personal de Soporte
Sub Total Horas-Persona
1
1
1
2
Horas Costo Promedio ($)

persona
40
$
480.00
40
$
480.00
20
$
240.00
100
$
800.00
200
$
2000.00
Costos Materiales $
400.00
Total $
2,400.00
(Sub Total Horas-Persona + Costos Materiales)
Fuente: Elaboracin propia a partir de datos proporcionados por la Gerencia de Tecnologa e

Innovacin.
Se involucraron en el proceso 3 empleados administrativos y 2 de soporte,

realizando un total de 200 horas-persona, sumado a la inversin en bienes
materiales por un monto total de $ 2,400.00.
Dentro de las prdidas no cuantificables se tienen:

a) Retraso en pagos a proveedores y salarios del personal.
b) Retrasos en cobros.
c) Prdida de informacin contable para ejecucin de auditoras financieras.
d) Riesgo de prdidas en concursos de proyectos debido a no disponibilidad
de la informacin contable actualizada y de manera inmediata.
e) Otros costos indirectos no definidos.
61
Para el clculo de los costos indirectos relacionados al incidente, estos se

determinan en funcin de los costos directos aplicando el mtodo de Heinrich10
mediante la siguiente funcin:
Ci = a x Cd
Donde:
Ci = Costos indirectos
a = en un valor corriente equivalente a 4
Cd = Costos directos
Sustituyendo el valor de a la expresin es la siguiente:
Ci = 4 x Cd (1)
Partiendo que el costo total (CT) se define con la siguiente expresin:
CT = Cd + Ci (2)
Sustituyendo la expresin 1 en la de costos totales da como resultado:
CT = 5 x Cd (Costos totales sera el quntuple de los costos directos)
Aplicando la expresin anterior al incidente de seguridad, donde el costo directo

fue de $2,400 tenemos que para FUSALMO el costo total represento un monto de
$ 12,000.00.
Por tanto, implementar un SGSI, representa una alternativa viable para la

Institucin en la prevencin de incidentes como el detallado anteriormente, mismo
que pudo ser evitado con las debidas polticas, procedimientos y medidas de
seguridad fsica pertinentes al caso.
10
Mtodo para estimacin de costos indirectos para incidentes a partir de la determinacin de los
costos directos diseado por Heinrich Himmler (Mayo 1,945).
62
Considerando lo anterior y una vez analizadas las condiciones de la Institucin, se

realiz una investigacin para identificar a otras instituciones que operan en el
pas y que ya han implementado un SGSI, para as retomar sus experiencias en el
desarrollo de este modelo. Para tal propsito, se utiliz la herramienta
Benchmarking aplicada a dos Instituciones identificadas con stos requerimientos,
siendo estas el Banco Central de Reserva y TACA Airlines El Salvador.
3.5 Benchmarking Caso de estudio Banco Central de Reserva de El
Salvador y TACA Airlines El Salvador.
El Benchmarking se presenta como una herramienta til en la innovacin dentro

de una organizacin, permitiendo realizar mejoras en sus procesos y excelencia
empresarial retomando experiencias del mercado. Este se define como un proceso
sistemtico y continuo para evaluar productos y/o servicios, as como procesos de
trabajo de otras organizaciones que son reconocidas como practicantes del
mismo, con el objetivo de lograr implementaciones y mejoras en la organizacin.
En nuestro pas se identific a las empresas TACA Airlines y el Banco Central de

Reserva de El Salvador (BCR) por su experiencia en la implementacin de un
SGSI basado en el estndar ISO 27001:2005.
3.5.1 Objetivo del benchmarking
Identificar los factores claves de xito que le permitieron al BCR y TACA,

implementar los controles especificados en la norma ISO/IEC 27001:2005, para
capitalizar su experiencia en relacin al estado actual de la gestin de seguridad
de la informacin en FUSALMO.
63
3.5.2 Metodologa del benchmarking
Para la realizacin del Benchmarking se toma como base el tipo funcional, el cual
permite comparar con organizaciones reconocidas, teniendo lo ms avanzado en
productos/servicios en proceso. Este proceso es desarrollado de la siguiente
manera:
a) Identificar las necesidades especficas de la informacin.
b) Identificar los socios del benchmarking, detectando las mejores prcticas en
las organizaciones.
c) Recopilar la informacin y presentar resultados del anlisis.
3.5.3 Casos de Estudio TACA Airlines Banco Central de Reserva de El Salvador
Ambas instituciones en estudio cuentan con un factor comn, donde su trayectoria

y experiencia de ms de 77 aos desde su fundacin ha implicado una
modernizacin y mejora continua de sus procesos, as como su incorporacin en
la era de las Tecnologas de la Informacin y las Comunicaciones (TICs). A
continuacin se detallan los factores clave de xito y cambios relevantes para
cada una de estas Instituciones.
3.5.3.1 Factores clave de xito para el BCR
A continuacin, en la tabla 3.18 se muestran los aspectos cualitativos de xito

para el Banco Central de Reserva en la implementacin del SGSI segn el
estndar ISO 27001:2005.
64
Tabla 3.18 Factores claves de xito para el Banco Central de Reserva en la implementacin del SGSI segn el estndar ISO
27001:2005.
Antecedentes
Carencia de un control
a.
constante e imparcial sobre
b.
el ejercicio de los procesos
informticos dentro de la
organizacin.
g)
Factores Claves de xito BCR

Realizacin de un diagnstico y anlisis de riesgos.
Reorganizacin a nivel del departamento de informtica que
permite el surgimiento de un comit de seguridad de la
informacin con funciones claves y opinin objetiva sobre los
procesos y polticas.
Definieron y tropicalizaron la mejor metodologa de seguridad
de informacin basados en las necesidades de la institucin.
11
h) Modificaron estructura informtica y colocaron firewall cada
vez ms especficos para un mejor control.
Los
mecanismos
de
12
i) Implementaron Data Lost Prevention.
seguridad utilizados eran
j) Definieron la figura de un vigilante constante de los sistemas
insuficientes, debido que
informticos para toda la organizacin que est alerta de las
desconocan con detalle los
anomalas presentes.
riesgos que enfrentaban.
Se aplica metodologas para anlisis de riesgos tales como:
13
14,
15
16
OCTAVE , MAGERIT COBIT , ITIL ; con base a estas,
tropicalizaron su propia metodologa de anlisis de riesgos en
base a las necesidades propias de la institucin.
k) Se crea toda una cultura de seguridad de la informacin que
El recurso humano no
involucra a todos los empleados como entes activos en la
conoca sobre los lmites
transferencia de datos.
establecidos
en
la
l) Como parte de su mapa de proceso, la educacin es clave
manipulacin
de
la
para que la organizacin comprenda las mejores prcticas de
informacin
seguridad y opciones ms recomendadas en tecnologa
Cambios Relevantes BCR

a) La creacin de un comit de seguridad de la
informacin que se encarga de velar el conveniente y
correcto funcionamiento de la informacin conforme
a las normas y polticas adoptadas.
b) A travs de diversos mecanismos y polticas dictadas
como cultura organizacional se pretende asegurar la
integridad, seguridad y disponibilidad de la
informacin.
c) Instalacin de dispositivos de seguridad (firewall) que
permitan la segura manipulacin de la informacin
desde permetros externos hasta el manejo interno
de datos y documentos especficos, a travs del
filtrado de la informacin.
d) Anlisis de las brechas entre el estado actual de la
seguridad y las mejores prcticas de seguridad.
e) Diseo y documentacin de polticas, procedimientos
y soluciones para asegurar la proteccin.
f) Administracin y soporte del programa de seguridad
para servir a las metas de la organizacin y
garantizar la continuidad del negocio.
Fuente: Elaboracin propia a partir de investigacin realizada con representante de Seguridad de la Informacin del BCR
11
Sistema de defensa (hardware y software) basado en que el trfico de entrada o salida a la red pasa por un sistema de seguridad que autoriza, deniega y registra todo evento en
funcin de una poltica de seguridad; controlando la comunicacin interna y externa de la red.
12
Herramienta que identifica, supervisa y protege la informacin confidencial almacenada, en uso o en trnsito dentro de la red, estaciones de trabajo o dispositivos mviles.
13
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation
14
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
15
COBIT: Control Objective for Information and Related Technology
16
ITIL: Information Technology Infrestructure Library
65
3.5.3.2 Conclusiones del proceso en el BCR
a) La constante preparacin y antelacin de posibles riesgos, prcticamente

ha vuelto nulo en nmero de incidentes informticos en la organizacin y
prdida de informacin.
b) La educacin en seguridad de la informacin y el involucramiento de
empleados ha llevado a crear una verdadera cultura en seguridad de la
informacin, que les permite contar con Recurso Humano de valor para la
ejecucin de los procesos en seguridad.
c) Lo referente a seguridad de la informacin, convierte al Departamento de
Informtica en un socio estratgico fuerte, que provee y manipula
informacin basado en las mejores prcticas.
d) Internacionalmente la institucin est respaldada, con un sistema de
seguridad de la informacin que lo convierten en un aliado confiable y
atractivo para organizaciones y clientes externos.
3.5.3.3 Factores clave de xito para TACA Airlines
En la tabla 3.19 se muestran los factores clave de xito identificados para la

Institucin en la implementacin del SGSI segn el estndar ISO 27001:2005.
66
Tabla 3.19 Factores claves de xito para TACA en la implementacin del SGSI segn el estndar ISO 27001:2005.
Antecedentes
Factores Claves de xito TACA
Cambios Relevantes TACA
Ataques a la informacin y sistemas informticos Implementacin de Firewalls e Intrusin Prevention a) Implementacin de un sistema de
desde Internet.
Systems
seguridad en profundidad o en capas,
el cual permite tener mecanismos de
Implementacin de cifrado a nivel de datos y SSL
Prdida de la confidencialidad de la informacin
17
diferentes partes o ubicaciones.
(Secure Socket Layer ) o HTTPS (Hyper Text Transfer
sensible como tarjetas de crdito.
18
b) Creacin de un comit de seguridad de
protocol Secure ) en el transporte
la informacin.
Implementacin de mecanismos que eviten DoS c) Implementacin en la base de datos de
(Denegacin de Servicio) a nivel perimetral
configuraciones, roles y permisos para
Prdida de la disponibilidad de la informacin.
configurando directivas o polticas en IPS (Inventory of
proteger la informacin.
Programs and Services), filtrado de contenido, y d) Capacitacin al personal de la
bloqueo de trfico con Firewalls.
Direccin de Tecnologa de la
Informacin, en los nuevos sistemas y
Amenazas de Virus y Gusanos que podran
procedimientos.
afectar el funcionamiento de Servidores y Configuracin y actualizacin peridica de Antivirus
e)
Implementacin
de
marcos
y
estaciones de trabajo
regulaciones
como
SOX
(Ley
Ataques a los sistemas informticos desde el
Sarbanes-Oxley),
PCI
(Peripheral
Actualizacin o parcheo peridico del sistema operativo
exterior
(internet)
aprovechando
fallos o
Component Interconnect) y el estndar
y aplicaciones afectadas
vulnerabilidades en aplicaciones.
de Star Alliance
de
los
procedimientos
Bloqueo de dispositivos removibles con aplicaciones f) Diseo
aplicables
acorde
al
estndar
ISO/IEC
Robo de informacin
como Device Control para evitar fuga de datos a travs
27001:2005
de USB, CD, DVS, etc.
Implementacin de Controles de acceso, definiciones
Acceso y modificacin no autorizada de la
de roles o perfiles a nivel de sistema operativo,
informacin
aplicaciones, bases de datos, etc
Fraude
m) Cifrado de informacin relacionada con tarjetas de

crditos, a nivel de base de datos con AS256 y a travs
de la red uso de protocolo https.
Fuente: Elaboracin propia a partir de investigacin realizada con representante de Seguridad de la Informacin de TACA
17
Sistema de comunicacin encriptada en internet que proporciona privacidad a los datos y mensajes, adems permite autenticar datos enviados.
Combinacin de protocolo HTTP y protocolos criptogrficos; empleado para lograr conexiones ms seguras en la web, de modo que la informacin es
cifrada.
18
67
3.5.3.4 Conclusiones del proceso en TACA
a) La implementacin de los controles en los sistemas, permite proteger la

integridad, disponibilidad y confiabilidad de la informacin, brindando mayor
seguridad en caso que un atacante desee alterar, eliminar o robar
la
informacin de TACA.
b) La implementacin del estndar ISO/IEC 27001:2005, aporta gran ayuda al
cumplimiento de las regulaciones exigidas y as poder cotizar en la bolsa o
ingresar alianzas mundiales.
c) La implementacin del sistema y mecanismos, para proteger la informacin
contribuye a que la empresa tenga una imagen seria y confiable .
d) El implementar mecanismos, sistemas, polticas y procedimientos para
salvaguardar la informacin, contribuye a la productividad de la empresa, ya
que gracias a la implementacin de estos, se pretende mitigar ciertos
problemas que potencialmente se podran dar en ausencia de los mismos.
3.5.4 Anlisis Comparativo con FUSALMO.
A continuacin, en las tablas 3.20 y 3.21 se detalla la relacin entre los factores
claves de xitos de las dos organizaciones seleccionadas en la realizacin del
benchmarking con respecto a FUSALMO.
Tabla 3.20 Anlisis comparativo Banco Central de Reserva de El Salvador FUSALMO
No

Reorganizacin
a
nivel
del
departamento de informtica que
permite el surgimiento de un comit
de seguridad de la informacin con
funciones estratgicas y opinin
objetiva sobre los procesos y polticas.
FUSALMO
Actualmente, cuenta con una
gerencia
de
Tecnologa
e
Innovacin, pero carecen de un
comit de seguridad de la
informacin.
68
No
2
3
4
5

Definieron y tropicalizaron la mejor
metodologa
de
seguridad
de
informacin
basados
en
las
necesidades de la institucin.
Modificaron estructura informtica y
colocaron firewall cada vez ms
especficos para un mejor control.
Implementaron Data Lost Prevention
Definieron la figura de un vigilante
constante de los sistemas informticos
para toda la organizacin que est
alerta de las anomalas presentes
Se crea toda una cultura de seguridad
de la informacin que involucra a
todos los empleados como entes
activos en la transferencia de datos.
Como parte de su mapa de proceso,
la educacin es clave para que la
organizacin comprenda las mejores
prcticas de seguridad y opciones
ms reomendadas en tecnologa
FUSALMO
Aun no se tiene definido alguna
metodologa
para
aplicar
el
Actualmente
cuentan
aplicacin Firewall.
con
la
No tienen esta aplicacin.

Cuentan con alertas definidas por el
Firewall.
Actualmente no se cuenta con una
divulgacin de algn plan que
involucre la seguridad de la
informacin.
Actualmente no cuenta con algn
plan de buenas prcticas de
seguridad.
Fuente: Elaboracin propia a partir de investigacin realizada con representante de Seguridad de

la Informacin del BCR e investigacin en FUSALMO
Tabla 3.21 Anlisis comparativo TACA FUSALMO

No
1
2

Implementacin
de Firewalls
Intrusion Prevention Systems
FUSALMO
e
Implementacin de cifrado a nivel de

datos y SSL o HTTPS en el transporte
Implementacin de mecanismos que
eviten DoS (Denegacin de Servicio)
a nivel perimetral configurando
directivas o polticas en IPS, filtrado
de contenido, y bloqueo de trfico con
Firewalls.
Configuracin
y
actualizacin
peridica de Antivirus
Actualmente
cuentan
con
la
aplicacin Firewall, no cuentan con
Intrusion Prevention Systems.
No cuentan con este sistema.
Cuentan
con
filtrados
de
contenidos, bloqueo de trfico con
Firewalls.
No cuentan con un programa de
actualizacin de Antivirus.
69
No
5

Actualizacin o parcheo peridico del
sistema operativo y aplicaciones
afectadas.
Bloqueo de dispositivos removibles
con aplicaciones como Device Control
para evitar fuga de datos a travs de
USB, CD, DVS, etc.
Implementacin de Controles de
acceso, definiciones de roles o
perfiles a nivel de sistema operativo,
aplicaciones, bases de datos, etc
FUSALMO
No tienen un programa de
actualizacin y parcheos peridicas.
Cuentan con bloqueo de equipos,

de acuerdo a las polticas definidas.
Cuentan con control de usuarios de

acuerdo a los perfiles de estos.
Fuente: Elaboracin propia a partir de investigacin realizada con representante de Seguridad de la

Informacin de TACA e investigacin en FUSALMO
3.6 Resumen de resultados obtenidos con las herramientas de diagnstico
En la tabla 3.22, se muestra un resumen de los aportes de cada una de las

herramientas de anlisis en el desarrollo del diagnstico de la Institucin, las
cuales fueron complementarias entre s y al mismo tiempo destacaron factores
crticos para la misma. Los hallazgos se presentan en forma de Fortalezas y
Debilidades desde la perspectiva de requerimientos del estndar internacional.
Algunas de las fortalezas sealadas no estn en el marco de requerimientos del
estndar, pero se destacan como iniciativas de la Institucin.
A nivel general se puede afirmar que la Fundacin afronta muchas debilidades en

relacin a la seguridad de la informacin, por lo que los esfuerzos se focalizaron
en identificar los aspectos crticos que debern incorporarse en el modelo de SGSI
para FUSALMO.
70
Tabla 3.22 Resultados de aplicacin de herramientas de anlisis

No.
Herramienta
diagnstica
aplicada
Resultados
a.
Entrevista dirigida
a:
a) Direccin
Ejecutiva.
b) Gerencia
Recursos
humanos.
c) Coordinacin
de
recursos
tecnolgicos.
d) Gerencia
de
Tecnologa
e
innovacin.
e) Gerencia
de
Finanzas
y
Recaudacin de
fondos.
f) Coordinacin
de
mantenimiento
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
Fortaleza
Se tiene implementado un respaldo de la
informacin (back up) para el rea financiera y
contable, este se realiza semanalmente.
Cuentan con un registro de asignacin de
equipos a los colaboradores.
Cuentan con un sistema de seguridad de
firewall (bloqueo de contenido perimetral).
Cuentan con un control de usuarios externos en
caso de capacitacin.
Emisin de reportes mensuales para medir la
productividad de la personas y tener control de
las pginas de internet que visitan, esto a nivel
de gerencias y coordinadores.
Cuentan con un control de ingresos de red para
mquinas que no pertenecen a FUSALMO.
Cuentan con invitaciones de talleres para
seguridad de la informacin a nivel de
educadores.
Tienen cuentas asignadas a invitados para usos
de los activos en los centros de cmputo, stas
poseen restricciones de acceso.
Cuentan con un Reglamento de Usuarios (rea
Educativa)
Cuentan con acceso restringido a los
servidores. Solamente dos personas tiene
acceso autorizado a los servidores.
Cuentan
con
una
nomenclatura
de
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
l.
Debilidad
No cuentan con un sistema de seguridad de la
informacin para el resto de la organizacin.
No cuenta con un responsable de la seguridad
de la informacin.
No cuenta con procedimiento documentado de
respaldo de la informacin.
No cuentan con acuerdos de confiabilidad.
No
cuentan
con
un
plan
de
revisin/verificacin constante de los equipos
asignados a los colaboradores.
No cuentan con auditorias de software y
sistemas a nivel interno.
No cuentan con una poltica y procedimiento
documentado de reporte de incidentes.
No cuentan con un diseo apropiado para los
equipos de cmputo que garantice la
seguridad de stos.
No
cuentan
con
un
procedimiento
documentado para dar de baja a un equipo.
No cuentan con una nomenclatura
de
clasificacin de la informacin por niveles de
seguridad.
No existen mecanismos de divulgacin de
cambios en las polticas de TI.
No cuentan con un modelo de buenas
prcticas de uso de la capacidad de
almacenamiento de la informacin.
71
No.
Herramienta
diagnstica
aplicada
Resultados
l.
Entrevista
dirigida a:
a) Direccin
Ejecutiva.
b) Gerencia
Recursos
humanos.
m.
n.
o.
p.
q.
r.
c) Coordinacin
de recursos
tecnolgicos.
s.
d) Gerencia de
Tecnologa e
innovacin.
u.
e) Gerencia de
Finanzas
y
Recaudacin
de fondos.
t.
v.
w.
Fortaleza
almacenamiento de la informacin (nombre y
fecha).
Cuentan con alertas de penetracin a la red de
informacin.
Cuentan con un monitoreo de banda ancha.
Firma de contrato con proveedores de internet.
Cuentan con bloqueo del cdigo mvil.
Cuentan con pruebas de nuevos sistemas por
parte de usuarios.
La red est configurada de acuerdo al estndar
definido.
Cuentan con un sistema informtico para el
manejo de la informacin, necesaria para el
reclutamiento de personal.
Existe un seguimiento y verificacin de los
antecedentes de las personas en fase de
contratacin a travs de un formato escrito.
El contrato de trabajo incluye una clusula
sobre confidencialidad de la informacin.
Al finalizar un contrato laboral, a travs del
finiquito por medio del jefe inmediato, el
personal hace entrega oficial de los bienes
fsicos propiedad de FUSALMO y de la
informacin archivada en los equipos.
Se conforma un grupo de trabajo para la
elaboracin y revisin de procedimientos del
rea de TI, dirigido por el gerente de TI y con
VoBo de la Direccin ejecutiva.
Los procedimientos se revisan con frecuencia
m.
n.
o.
p.
q.
r.
s.
t.
Debilidad
No se cuenta con un procedimiento
documentado de solicitud de software y
licencias de estos.
No cuentan con un sistema de intranet para
las reas de FUSALMO donde se pueden
publicar documentos.
No cuentan con una certificacin vigente de la
red.
Falta de registro escrito de la Poltica sobre el
acceso y manejo de la informacin requerida
para la contratacin de personal (Curriculum
Vitae, etc.)
El sistema informtico disponible para la
manipulacin de la informacin confidencial
de RRHH est obsoleto y no precisa los
requerimientos exigidos.
No hay registro escrito sobre la poltica de
control de verificacin de antecedentes de las
personas en fase de contratacin.
No cuentan con un protocolo oficial para
realizar la induccin a personal nuevo o a
terceras personas, para comunicar sobre las
polticas de la Fundacin y manejo especfico
de la informacin y confidencialidad.
En caso de cambios en los sistemas
informticos o afines, no existe una
retroalimentacin sobre las modificaciones por
parte de la Gerencia de Tecnologa e
Innovacin.
72
Herramienta
diagnstica
aplicada
No.
Entrevista
dirigida a:
g) Direccin
Ejecutiva.
h) Gerencia
Recursos
humanos.
i)
Coordinacin
de recursos
tecnolgicos.
j)
Gerencia de
Tecnologa e
innovacin.
k) Gerencia de
Finanzas
y
Recaudacin
de fondos.
Resultados
Fortaleza
(al menos cada 3 meses) en el rea de TI,
aunque no estn escritos, se revisa su
ejecucin.
x. Existe una bitcora donde se registran las
acciones desarrolladas y la ejecucin de
procedimientos de seguridad en el rea de TI.
y. Se tiene un Plan Anual Operativo (POA) para el
rea de TI y se somete a evaluaciones de
seguimiento. Cada recurso tiene su planificacin
en relacin a este POA.
z. Los procedimientos de finalizacin de contrato
se realizan en coordinacin con RRHH y la
jefatura inmediata: se eliminan cuenta de
usuario de sistemas y correo electrnico.
aa. En el rea de TI se tiene documentos de la
asignacin de recursos de informacin
(memorando) y los respectivos finiquitos.
bb. Los cambios o renovacin de tecnologa se
realizan mediante propuesta y justificacin de
necesidades y se realiza la gestin ante la
Direccin Ejecutiva.
cc. Se tiene un inventario actualizado y la
respectiva asignacin.
dd. Se tienen medidas de seguridad fsica para el
acceso de usuarios a las instalaciones, los
estudiantes necesitan carnet para entrar a las
instalaciones.
ee. Las sesiones de las mquinas cuentan con
privilegios de administrador.
Debilidad
u. No se cuenta con un procedimiento
sancionatorio en caso de que algn empleado
infrinja la clusula de confidencialidad de la
informacin definida en el contrato de trabajo.
v. En caso de culminacin de contrato laboral, el
personal de Tecnologa e Innovacin, no
verifica los datos entregados en el respaldo
(back up) por el personal.
w. Hay procedimientos en el rea de TI que se
han implementado y deben mejorarse
continuamente, sin embargo stos no estn
documentados.
x. No se tiene establecido una estrategia o
poltica de seguridad.
y. No
se
documenta
la
revisin
de
procedimientos.
z. Las acciones relacionadas con la finalizacin
de contrato no se han establecido de manera
estandarizada y quedan sujetas a la iniciativa
del jefe de Recursos Humanos donde se
genera la finalizacin de contrato.
aa. No hay garanta de que los empleados no
extraigan informacin de la organizacin.
bb. No estn registradas las recomendaciones a
usuarios en cuanto al uso de equipos y
restricciones de seguridad ya que estas se
realizan en forma verbal.
cc. No se tienen acuerdos de confidencialidad con
el recurso humano involucrado con la
73
No.
Herramienta
diagnstica
aplicada
Resultados
Fortaleza
Debilidad
ff. La empresa Business Software Alliance (BSA)
informacin confidencial.
realiza auditorias eventuales de licenciamiento dd. Se brindan recomendaciones no escritas a los
de software y solo se maneja software legal.
docentes y consultores sobre la conducta y
gg. Se realizan pruebas piloto en la implementacin
prcticas en las instalaciones. Al personal
de software nuevo.
interno se le entrega el reglamento interno de
hh. Se han realizado mejoras en cuanto a limitar el
trabajo
acceso fsico y virtual a los servidores.
ee. No se tiene un protocolo o procedimiento en
casos
de
incidentes
de
seguridad,
investigacin de eventos, responsabilidades e
implicaciones.
ff. Se necesita formacin del personal tcnico en
relacin a la seguridad de la informacin (2
personas en el rea de soporte y seguridad y 1
persona en desarrollo de software)
gg. No se tiene sistema de monitoreo en los
centros de cmputo.
hh. Por falta de seguridad se han presentado
casos
extravo de hardware en las
instalaciones de cmputo.
ii. Se tienen debilidades en cuanto a prevencin
de riesgos ambientales en el rea de
servidores, no se tienen extintores, ni anclaje
de mobiliario.
jj. Se tiene una sola acometida para suministro
de energa y no hay planta elctrica interna de
emergencia.
kk. Poseen sistema de alarma centralizado para la
infraestructura administrativa, sin incorporar
rea de servidores.
74
No.
Herramienta
diagnstica
aplicada
Resultados
a.
b.
c.
d.
e.
Herramienta
de
valoracin en base
a
requerimientos
del
estndar
ISO/IEC
27001:2005
Herramienta de
valoracin
en
base
a
requerimientos
del
estndar
ISO/IEC
27001:2005
f.
g.
h.
i.
j.
Fortaleza
Cuentan con inventario de los equipos y
asignacin de stos, desde la contratacin.
Cuentan con mecanismos de investigacin del
perfil de los candidatos a contratar.
Se han implementado medidas de garanta de
la seguridad en la finalizacin del empleo.
Cuentan con sistema contra incendios en
algunas reas claves del rea administrativa.
Cuentan con controles de uso de equipos fuera
de las instalaciones y su disposicin final.
Se tiene bitcoras de los controles de cambios,
en caso de pruebas de nuevos sistema se
realizan de forma aislada y en periodos
especficos.
Monitoreo de la capacidad de los sistemas.
Cuentan con procedimientos de respaldo en las
reas crticas, ste no est documentado.
Cuenta con un proceso de medidas de
almacenamiento de informacin por reas.
El acceso a los sistemas estn protegidos por
contrasea mediante autenticacin de usuario.
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
Debilidad
No cuentan con una poltica de seguridad
implementada ni definida.
No se tiene documentado los accesos
restringidos a reas clave.
No tienen procedimiento de accin disciplinaria
en caso de que se tenga una violacin de la
Cuentan con deficiencia en el permetro fsico
de las reas de procesamiento de informacin
especialmente en el rea educativa.
No cuentan con controles o auditorias sobre
los servicios brindados por terceros.
El proveedor de servicio de redes no ha sido
calificado por la Fundacin.
No cuenta con polticas ni medidas de
seguridad en relacin al uso de medios
extrables.
No se ha identificado los requerimientos de
seguridad para los sistemas nuevos o los ya
existentes.
No existe un procedimiento para reporte de
incidentes, ni gestin de incidentes.
No existen regulaciones o legislacin definidas
a las cuales dar cumplimiento.
75
No.
Herramienta
diagnstica
aplicada
Resultados
Fortaleza
Mediante
los grficos de tela de araa se
identificaron las siguientes fortalezas por mbito:
a) Planeacin y aceptacin del sistema
b) Responsabilidad por los activos
c) Clasificacin de la informacin: Finalizacin o
Esquema Tela de
cambio de empleo.
araa
d) Proteccin contra cdigos maliciosos y mviles
e) Control de acceso a sistemas operativos
f) Control de acceso a redes
g) Seguridad en procesos de desarrollo y soporte
h) Cumplimiento de requerimientos legales
i) Seguridad de archivos de sistema.
a) Se ha establecido una metodologa para el

anlisis de riesgos.
b) Se han identificado los activos crticos de la
Institucin, a fin de su proteccin e integridad.
Anlisis de riesgos
Debilidad
Las debilidades identificadas son las siguientes:
a) Poltica de seguridad de la informacin
b) Organizacin interna de la seguridad
c) Gestin de la entrega de servicios a terceros.
d) Control de acceso de aplicaciones e
informacin.
e) Monitoreo.
f) Control de acceso para usuarios
g) Gestin de incidentes y mejoras en la
h) Requerimientos de seguridad de los sistemas
de informacin y procesamiento correcto de
las aplicaciones.
i) Consideraciones de auditora de los sistemas
de informacin.
a) Alto riesgo de prdidas materiales en
servidores.
b) Procedimientos no documentados.
c) nico proveedor de internet (No garanta por
falla externa), posible interrupcin del servicio.
d) Riesgos de modificacin no intencionada de la
informacin.
e) Riesgo de colapso de equipos en situaciones
de desastres naturales.
f) Instalaciones no seguras para los activos de
red.
g) Riesgo por destruccin de informacin en
sabotaje de red o equipos.
h) Riesgo de interrupcin de servicios.
76
No.
Herramienta
diagnstica
aplicada
Resultados
Fortaleza
a) Identificacin de un incidente de seguridad,

reconocido desde la alta gerencia.
b) Reconocimiento de las consecuencias del
Anlisis econmico
incidente de seguridad y sus implicaciones.
de los incidentes c) Implementacin de algunas medidas de
de seguridad
seguridad luego del incidente.
d) Estimacin de los costos asociados al incidente.
e) Identificacin de las prdidas cuantificables y no
cuantificables.
Debilidad
a) No existe un procedimiento para el
seguimiento de incidentes de seguridad.
b) No se ha documentado el incidente ni
deducido responsabilidades.
c) El incidente represent a la Institucin al
menos $2,400 USD en costos directos y un
indeterminado
valor
en
costos
no
cuantificables directamente relacionados con
las operaciones de sta.
d) Las consecuencias del incidente perjudicaron
a clientes internos como externos, as como el
ambiente y relaciones laborales.
Fuente: Elaboracin propia a partir de los resultados de la investigacin realizada en FUSALMO.
77
3.7 Factores crticos para la Institucin.
A partir de los resultados obtenidos a travs de las herramientas de diagnstico,

anlisis de riesgos, anlisis econmico de incidentes y benchmarking, se definen
diez factores crticos para la Institucin, los cuales se detallan a continuacin.
a) Poltica de seguridad.
Actualmente la Institucin carece de una poltica de seguridad integral de los
activos informticos que le permita administrar de manera eficiente los mismos.
En caso de no tomar acciones concretas se ve expuesto a toma de decisiones
ineficientes que provoquen aumentos en los costos operativos y financieros de
la fundacin y pongan en peligro las operaciones y la continuidad del negocio.
b) Organizacin de la seguridad de la informacin.

La ausencia de un registro escrito sobre el manejo de la informacin y las
atribuciones de los usuarios sobre la misma, as como de un comit objetivo
que vigile las prcticas de organizacin y seguridad de la informacin, genera
una situacin descontrolada que lleva a la improvisacin en caso de incidentes
o manejo inadecuado de la informacin. Al no realizar cambios a los procesos
actuales, aumenta la probabilidad que haya un manejo ineficiente de los
recursos a disposicin, lo que se traduce en disminucin de rentabilidad.
c) Compromiso de la direccin.
No se ha evidenciado un compromiso fiel por parte de la Junta Directiva y
dems autoridades sobre el diseo e implementacin de una poltica de
seguridad de la informacin. Esto implica que carecen del aseguramiento de
recursos adecuados para implementar y mantener las polticas de seguridad de
la informacin. Concretamente si no hay respuesta de apoyo desde la alta
Direccin, todo intento y esfuerzo realizado en la construccin de la cultura de
seguridad ser frustrado para la organizacin y traducido en desperdicio de
recursos.
78
d) Procedimientos
La ausencia de procedimientos documentados orientados a salvaguardar la
informacin, dificulta una cultura de proteccin de la informacin. Si la
organizacin carece de estas prcticas, se corre el riesgo que la informacin
sea accedida por cualquiera, ocasionando que esta sea alterada o eliminada.
e) Respaldo de la informacin
La Institucin no posee procedimientos documentados para el respaldo de la
informacin. El respaldo de los datos son una de las prcticas ms importantes
para cualquier entidad, esto se lleva a cabo con el fin de dar continuidad con
las operaciones de la compaa en caso de desastres o prdidas de
informacin, lo que demanda un procedimiento para su respaldo y
recuperacin.
f) Control de acceso a aplicaciones e informacin.

La Institucin no cuenta con una poltica para el acceso autorizado a
aplicaciones e informacin; la ausencia de la misma implica que no existe un
lineamiento institucional escrito para gestionar las restricciones de acceso a la
informacin, esto a pesar de contar con medidas tcnicas que restringen el
acceso al usuario, no brindando respaldo y garantas al proceso de monitoreo,
seguimiento y auditora informtica, as como en la gestin de incidentes de
seguridad.
g) Monitoreo Auditoria.
No se ha implementado un sistema de auditora interna o externa a nivel
informtico, ni registros de las actividades propias o accesos no autorizados a
los sistemas, aplicaciones o hardware; esta condicin coloca a la Fundacin en
una situacin de alta vulnerabilidad al no dar seguimiento a los riesgos que
enfrenta, ni el registro de los mismos para la retroalimentacin efectiva de las
acciones de mejora, quedando expuesta a reincidencia de eventos de
79
seguridad, costos asociados a vulnerabilidad en la continuidad del negocio, no

identificacin de nuevos riesgos o vulnerabilidades, entre otros.
h) Acuerdo de confidencialidad.
La Institucin no ha establecido el uso de acuerdos de confidencialidad con el
personal clave involucrado en el acceso a la informacin; esto genera una
vulnerabilidad en la proteccin de la seguridad de la informacin crtica por
parte del recurso humano, lo cual repercute en deficiencias en la asignacin de
responsabilidad, vacos en el registro de incidentes, deficiencias en la garanta
de seguridad de los procedimientos en los sistemas, entre otros.
i) Reporte de incidentes.
No se ha definido ningn procedimiento para el reporte de incidentes de
seguridad, esto dificulta una respuesta inmediata ante la eventualidad de un
incidente, su investigacin, responsabilidad, registro y valoracin de nuevas
amenazas; por lo que es inminente la definicin e implementacin de
procedimientos de reporte de incidentes donde claramente se definan las
condiciones, medios y responsabilidad para reporte del incidente, as como las
medidas para la gestin de los mismos. Caso contrario, la organizacin al no
documentar estos eventos, se vuelve ms vulnerable a antiguas y nuevas
amenazas y las implicaciones econmicas y de continuidad del negocio que
esto implica.
j) Continuidad del negocio

Siendo la continuidad del negocio una necesidad imprescindible de las
organizaciones; la Institucin no cuenta con planes que garanticen la
continuidad del negocio ante eventos que amenacen la seguridad fsica o
tcnica, tales como desastres naturales o resultado de acciones intencionadas
en las reas crticas y por tanto sus operaciones estn comprometidas ante
este tipo de eventos.
80
3.8 Procedimientos crticos para la Institucin.
Considerando lo antes expuesto, se identifican catorce procedimientos necesarios

para la Institucin, de los cuales tres de ellos se consideran crticos en el proceso
de implantacin del SGSI. Por tanto, estos tres procedimientos han sido diseados
y son parte de la propuesta de esta investigacin, considerando en ello el
compromiso que debe asumir la Fundacin para con los resultados de sta, su
continuidad y seguimiento.
Los procedimientos crticos diseados y que se presentan en el Manual de

Polticas de Seguridad de la Informacin son los siguientes:
a) Procedimiento de copia de respaldo de informacin (back up)
b) Procedimiento de reporte y seguimiento de incidentes de seguridad
c) Procedimiento de Auditoria de los sistemas de informacin
En corresponsabilidad, la Institucin deber realizar el levantamiento de 11

procedimientos adicionales que complementan el Manual de Polticas de la
Seguridad de la Informacin, los cuales se detallan a continuacin:
a) Procedimiento de Control de registros.
b) Procedimiento de clasificacin de activos de informacin
c) Procedimiento de control de cambios
d) Procedimiento de control de medios e informacin en transito
e) Procedimiento de Gestin de accesos
f) Procedimiento de seleccin y contratacin de personal
g) Procedimiento de medidas disciplinarias
h) Procedimiento de finalizacin de contrato
i) Procedimiento de no conformidades
j) Procedimiento de acciones correctivas y preventivas
k) Procedimiento de control de documentos.
81
CAPTULO IV. PROPUESTA DEL SISTEMA DE GESTIN DE SEGURIDAD DE

LA INFORMACIN.
El modelo de sistema de gestin de seguridad de la informacin para la Institucin

incluye el diagnstico en funcin de los requerimientos del estndar internacional,
la metodologa del anlisis de riesgo y su correspondiente desarrollo, el
establecimiento de los factores crticos, el plan y estrategias de implementacin
para la misma, recomendaciones, as como el Manual de polticas de seguridad de
la informacin, este ltimo disponible como Anexo III de este documento.
Por tanto, la implementacin de este sistema requiere de un plan considerando

todas sus fases hasta la certificacin internacional, tal como se plantea a
continuacin.
4.1 Plan de implementacin
El plan de implementacin del SGSI contempla cinco etapas orientadas hacia una
organizacin, delegacin, ejecucin y control de los procesos y actividades
especficas de la Institucin, tal como se detallan a continuacin:
Etapa 1. Presentacin del proyecto a Direccin Ejecutiva y Gerencias de la

Fundacin;
actividad
contemplada
como
responsabilidad
del
equipo
de
investigacin a fin de comunicar y actualizar a la institucin sobre la propuesta del

Sistema de Gestin de Seguridad de la Informacin, tomando en cuenta a las
Gerencias involucradas en la implementacin del mismo.
Etapa 2. Conformacin del Comit de Seguridad de la Informacin; el cual deber

estar conformado por un grupo de conocedores en el tema, que puedan emitir
juicios y colaborar en la coordinacin general. El propsito consiste en definir
responsabilidad en la implementacin, monitoreo, control y seguimiento del SGSI.
Adems de conformar el comit de seguridad, se deber realizar capacitacin al
82
mismo en relacin a la metodologa de adopcin del sistema, requerimientos y

etapas.
Etapa 3. Implementacin del Sistema de Gestin de Seguridad de la Informacin.

Comprende la divulgacin y capacitacin acerca del manual de Polticas y del
SGSI a todos los niveles de la Fundacin. En esta etapa se pretende sensibilizar a
todo el personal acerca de las polticas y su impacto organizacional. Al mismo
tiempo debe realizarse el levantamiento de procedimientos a fin de establecer la
documentacin del sistema de gestin.
Etapa
4. Evaluacin del Desarrollo del Sistema. En esta etapa se define un
proceso constante de mejora continua, que permita verificar el cumplimiento actual

de requisitos y garantizar las mejores prcticas de seguridad de la informacin de
manera permanente; para ello se debe realizar un proceso de auditora interna y
como resultado de ello la ejecucin de acciones correctivas y no conformidades.
Etapa 5. Certificacin del Sistema de Gestin de la Seguridad de la Informacin.

En esta se pretende la certificacin del sistema por una entidad externa certificada
por la Organizacin Internacional de Normalizacin (Siglas en Ingles ISO).
En la tabla 4.1 se presenta el plan de implementacin del SGSI, identificando las

estrategias y fases que deber desarrollar la Institucin y en la tabla 4.2 se
muestra el cronograma para su ejecucin.
83
Tabla 4.1 PLAN DE IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

ACTIVIDADES DE
RESPONSABLE
OBJETIVO
ESTRATEGIA
DOCUMENTACIN
IMPLEMENTACIN
Etapa 1: Presentacin del proyecto a Direccin Ejecutiva y Gerencias de la Fundacin
Tesis: Propuesta del
Comunicar el proceso de
Modelo de Gestin del
Presentacin
del
proyecto,
investigacin realizado y
Reunin para
Equipo de
Sistema de Seguridad
diagnstico y resultados a Direccin
generar iniciativas que
presentacin de
investigacin
informtica estndar ISO
Ejecutiva y Gerencias
lleven a la ejecucin del
proyecto
NF 27001:2005 para
proyecto
FUSALMO
Etapa 2: Conformacin del Comit de Seguridad de la Informacin
Tesis: Propuesta del
Definir responsabilidad en
Reunin con
Modelo de Gestin del
Establecimiento del Comit de
la implementacin,
Comit de
Sistema de Seguridad
Direccin Ejecutiva
Seguridad de la Informacin
monitoreo, control y
Seguridad de la informtica estndar ISO
seguimiento del SGSI
Informacin
NF 27001:2005 para
FUSALMO
Reunin con
Gerencia de
Presentar metodologa de
Capacitacin
al
Comit
de
Comit de
Tecnologa e
adopcin del sistema,
SGSI
Seguridad en relacin al SGSI
Seguridad de la
Innovacin
requerimientos y etapas.
Informacin
Etapa 3: Implementacin del Sistema de Gestin de Seguridad de la Informacin
Manual de Polticas de
Capacitar a todo el
Reunin con
Seguridad de la
Divulgacin y capacitacin acerca
Comit de Seguridad
personal acerca de la
Gerencias y
Informacin
del Manual de Polticas y del SGSI a
de la Informacin
Poltica y su impacto
Jefaturas y
Estndar
todos los niveles de la Fundacin
organizacional
miembros
ISO/IEC27001:2005
para FUSALMO
84
ACTIVIDADES DE
IMPLEMENTACIN
RESPONSABLE
Levantamiento de procedimientos y
registros.
Comit de Seguridad
de la informacin y
otros vinculados a
procesos
OBJETIVO
Integrar las funciones del

personal
ESTRATEGIA
DOCUMENTACIN
Instruccin y
revisin de
procedimientos
Procesos y registros del
de acuerdo al
Sistema
estndar indicado
en poltica
Etapa 4: Evaluacin del Desarrollo del Sistema

Direccin Ejecutiva y
Auditoras
Procedimiento de
Planificacin
y
ejecucin
de
Comit de Seguridad
internas de
auditora interna y
auditoras internas
de la Informacin
supervisin
documentacin del SGSI
Revisin de
Procedimiento de
Ejecucin de acciones correctivas y Comit de Seguridad Verificar el cumplimiento y
resultados de
acciones correctivas y
no conformidades detectadas.
de la Informacin
mejoras del sistema.
auditoria
no conformidades
Direccin Ejecutiva y
Identificacin e implementacin de
Evaluacin de
Comit de Seguridad
Plan de mejora
mejora continua
mejoras
de la Informacin
Etapa 5: Certificacin del Sistema de Gestin de la Seguridad de la Informacin
Procedimiento de
Comit de Seguridad
Identificar debilidades en
Auditoria interna del SGSI
Auditora interna
auditora interna y
de la Informacin
el SGSI
documentacin del SGSI
Comit de Seguridad
de la Informacin,
Ejecucin de plan
Procedimiento de
Ejecucin de acciones correctivas y
Gerencia de
Resolver los hallazgos de
de solucin a
acciones correctivas y
no conformidades detectadas.
Tecnologa e
auditoria interna
hallazgos
no conformidades
Innovacin, Jefaturas y
Direccin Ejecutiva
Auditora por el
Obtener requerimiento
Auditora de certificacin del SGSI
Ente de certificacin
ente de
Certificacin del SGSI
oficial de certificacin
certificacin
Fuente: Elaboracin propia a partir de resultados de la investigacin
85
Tabla 4.2: CRONOGRAMA DE IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACIN
ACTIVIDADES
MESES
1
2
3
4
5
6
7
8
9
10
Etapa 1: Presentacin del proyecto a Direccin Ejecutiva y Gerencias de la Fundacin
Presentacin del proyecto, diagnstico y
resultados a Direccin ejecutiva y
Gerencias
Etapa 2: Conformacin del Comit de Seguridad de la Informacin
Establecimiento del Comit de Seguridad
de la Informacin
Capacitacin al Comit de Seguridad en
relacin al SGSI
Etapa 3: Implementacin del Sistema de Gestin de Seguridad de la Informacin
Divulgacin y concientizacin del acerca
del Manual de Polticas y del SGSI a todos
los niveles de la Fundacin
Levantamiento de procedimientos y
registros.
Etapa 4: Evaluacin del Desarrollo del Sistema
Planificacin y ejecucin de auditoras
internas
Ejecucin de acciones correctivas y no
conformidades detectadas.
Identificacin e implementacin de mejora
continua
Etapa 5: Certificacin del Sistema de Gestin de la Seguridad de la Informacin
Auditoria interna del SGSI
Ejecucin de acciones correctivas y no
conformidades detectadas.
Auditora de certificacin del SGSI
11
12
Fuente: Elaboracin propia a partir de resultados de la investigacin
86
4.2 Estrategias para la implementacin
A partir del diagnstico realizado y el anlisis de riesgo, se definen las estrategias

que dan respuesta a las debilidades identificadas y que permitirn a FUSALMO
establecer el SGSI y los requerimientos de la seguridad de la informacin.
a) Capacitacin en seguridad de la informacin

Es necesario desarrollar un plan de formacin institucional en sensibilidad en el
tema de seguridad de la informacin, as como tambin capacitacin del rea
de TI, a fin de actualizarse en nuevos riesgos y metodologas para evaluacin y
mitigacin del riesgo.
b) Seguridad fsica de los equipos

Es importante acondicionar las reas donde se procesa informacin crtica
acorde al ambiente y riesgos a que se exponen, a fin de salvaguardar los
equipos y la informacin, es necesario prever las condiciones de desastre e
incorporar medidas en caso de siniestros o desastres naturales.
c) Levantamiento de procedimientos
Es indispensable que FUSALMO realice un levantamiento de procedimientos
en todas sus reas, especialmente en TI a fin de proteger y garantizar la
documentacin y ejecucin de procedimientos aceptados por la alta direccin y
la correspondiente asignacin de responsabilidad sobre los mismos.
d) Administracin de la seguridad
La administracin de la seguridad debe ser un proceso compartido por todos
los miembros de la organizacin como partes interesadas en la seguridad y
vigilantes de las buenas prcticas.
87
e) Planes de continuidad
Es indispensable establecer y revisar planes de continuidad ante desastres, a
fin de garantizar la continuidad del negocio y la proteccin de los activos
crticos de la Fundacin, estos planes al mismo tiempo deben ser del
conocimiento de los miembros de la organizacin, promoviendo una actitud
favorable para su correcta ejecucin.
f) Comit de seguridad de la informacin.

Establecimiento de un Comit de Seguridad de la Informacin, totalmente
independiente al rea de Tecnologa e Innovacin, actuando como ente rector
vigila la garanta de seguridad en todos los procedimientos y la adopcin de
buenas prcticas.
g) Auditora
Es indispensable implementar un sistema de auditoria informtica con todos
sus controles y procedimientos a fin de dar seguimiento a las acciones
relacionadas con las operaciones y administracin de la seguridad. Este
sistema deber implementarse una vez se hayan definido los controles y
procedimientos documentados para la fundacin.
4.3 Consideraciones al plan de implementacin
A continuacin se detallan algunas consideraciones a la definicin del plan de

implementacin presentado en la tabla 4.1, considerando las implicaciones que
estas tienen para la Institucin.
a) Costo de implementacin
El costo total de la implementacin depende del tamao de la Fundacin, grado
crtico de la informacin, tecnologa, disposiciones legales y el nivel de proteccin
que se necesita. Por lo que habiendo analizado el resultado de la evaluacin de
riesgo, se tendrn en cuenta los costos que se muestran en la tabla 4.3.
88
Tabla 4.3 Detalle de Costos de Implementacin de Sistema para FUSALMO

Tipo de Costo
Descripcin
Monto
Comprende gastos de papelera, contratacin

de medios de divulgacin, publicaciones, pago
a entidad capacitadora, etc.
Incluye contratacin de asesora externa para
elaborar diagnostico general, revisin y
actualizacin
de
registros
existentes,
Asistencia externa elaboracin e implementacin de documentos
y registros nuevos, realizacin de auditoras
internas y elaboracin de avances en periodos
establecidos.
Se consideran como proyectos de mejora a
realizarse post certificacin, a menos que
Inversin en
represente
un
obstculo
para
la
tecnologa
implementacin y certificacin inicial
del
sistema. Deber considerarse como un costo
independiente
Considerado como gasto administrativo
Horas hombre
incluido
La contratacin de empresa certificadora
Certificacin ISO externa e incluye: Pre auditoria, Auditoria de
certificacin y emisin del certificado.
Publicacin y
capacitacin
$4,500.00
$8,000.00
N/A
N/A
$7,500.00
TOTAL $20,000.00
Fuente: Investigacin propia a partir de informacin relacionada con procesos similares de
certificacin.
b) Periodo de ejecucin:
Este periodo se estima de 12 meses y comprende desde la presentacin del
proyecto a la direccin ejecutiva y gerencias hasta la obtencin de la certificacin.
c) Acciones inmediatas:
Como primera accin la divulgacin de los resultados de la investigacin a la
direccin ejecutiva y gerencias, seguido por el levantamiento inmediato de
procedimientos en toda la fundacin, principalmente los siguientes:
a) Procedimiento de Control de registros.
b) Procedimiento de control de cambios
c) Procedimiento de Gestin de accesos
89
d) Beneficios a FUSALMO:
Habiendo desarrollado las etapas de diagnstico antes descritas, los beneficios

tangibles e intangibles que percibe la Fundacin mediante la implementacin de
este SGSI son las siguientes:
a) Identificacin de riesgos de seguridad y su impacto en la organizacin.

b) Garantizar el cumplimiento de las caractersticas de disponibilidad,
confidencialidad e integridad de informacin.
c) Hacer del conocimiento de la alta direccin de FUSALMO la situacin actual
en relacin a la seguridad de la informacin.
d) Disponer de los lineamientos para la gestin de incidentes de seguridad.
e) Establecimiento de un comit de seguridad de la informacin que sea un
ente que vigila las buenas prcticas en relacin a la seguridad del personal.
f) Fomentar una cultura de seguridad de la informacin en todos los niveles
organizacionales de la Fundacin.
g) Capacitar al personal en el tema de seguridad de la informacin.
h) Adecuada organizacin de los procesos a travs del levantamiento de
procedimientos y mejora en la capacidad de reaccin.
i) Retroalimentacin de la eficiencia del sistema mediante los procesos de
auditoria.
j) Minimizacin de costos en incidentes de seguridad
k) Imagen institucional ante sus aliados estratgicos.
90
CAPTULO V. CONCLUSIONES Y RECOMENDACIONES.
5.1 Conclusiones
a) Mediante el desarrollo de una propuesta de SGSI para FUSALMO, ha sido

posible el desarrollo de una metodologa de anlisis cualitativo y cuantitativo
para la identificacin de fortalezas, debilidades y riesgos para cualquier
organizacin interesada en implementar este modelo. Proceso que permite
focalizar los esfuerzos de mejora y la prevencin de incidentes de seguridad.
b) La metodologa desarrollada es perfectamente replicable en cualquier otra

institucin ajena a FUSALMO, ya que parte de las prcticas de seguridad de la
informacin de la organizacin en relacin a un estndar de referencia.
c) A partir de esta experiencia, se ha demostrado que el estndar ISO/IEC

27001:2005 es un referente aplicable para todo tipo de organizacin interesada
en implementar un SGSI; independientemente de su naturaleza, tamao o giro
de negocio; para el caso de FUSALMO siendo una organizacin dedicada al
mbito educativo, no se encontraron obstculos para la aplicacin del modelo y
el anlisis desarrollado.
d) Los resultados de la investigacin representan un aporte significativo para la

Fundacin, ya que pretende resolver serias debilidades en la gestin de la
seguridad de la informacin; siendo al mismo tiempo un proceso innovador en
nuestro medio, ya que es un estndar en proceso de adopcin que an no es
explotado en el sector.
e) La definicin del Manual de Polticas de Seguridad es la evidencia o resultado
de todo un anlisis, traducido en acciones concretas y directrices para la
Fundacin, que permitirn la administracin del Sistema de Gestin de
Seguridad de la Informacin.
91
f) Se ha establecido un plan de implementacin el cual permitir planificar,

organizar y dirigir, cada una de las etapas establecidas para el desarrollo del
modelo; permitiendo al mismo tiempo realizar una retroalimentacin de la
eficiencia de las acciones ejecutadas y la mejora del sistema.
g) El anlisis de riesgos es una de las etapas de mayor relevancia en el estudio,
ya que permite un mapeo de las amenazas, vulnerabilidades, impacto e
identificacin de riesgos y su valoracin; de modo que, independientemente de
la metodologa aplicada, es una etapa crtica que debe desarrollarse con tal
importancia.
h) Dado que FUSALMO no cuenta con una metodologa para anlisis econmico
de incidentes de seguridad de la informacin, se aplica una metodologa
basado en los antecedentes de un incidente de seguridad, cuyo resultado
refleja costos directos por un monto estimado de $ 2,400, en concepto de
prdidas. Sin embargo, adicionalmente a este monto existen otros costos no
cuantificables de carcter crtico, vinculados a proyectos y objetivos de la
Fundacin que pueden verse comprometidos y representar mayores prdidas.
5.2 Recomendaciones
a) Promover una cultura de seguridad de la informacin en la Institucin que

contemple integralmente la coordinacin de las funciones de seguridad,
aspectos de confidencialidad, riesgos relacionados a terceros y sistema de
auditora.
b) Se recomienda el levantamiento inmediato de los 11 procedimientos indicados

en el apartado 3.8, especialmente los relacionados con el rea de Tecnologa e
Innovacin, con el propsito de documentar los procesos objeto de auditora y
proteccin de la informacin. Estos procedimientos deben ser impulsados
desde la alta direccin y la Gerencia de Tecnologa e Innovacin.
92
c) Implementar un plan de auditora informtica que permita registrar y monitorear

las operaciones en los sistemas, seguimiento y control de vulnerabilidades e
incidentes y evidenciar las debilidades en los procedimientos para su mejora
continua.
d) Establecer un Comit de Seguridad de la Informacin independiente a las
reas de gestin de tecnologa de la informacin, con el propsito de ser un
ente imparcial de vigilancia sin conflicto de intereses con la Institucin y acorde
a los requerimientos del estndar.
e) Ejecutar un plan de formacin para la sensibilizacin del Recurso Humano en
relacin al tema de seguridad de la informacin y las implicaciones en los
objetivos de la Institucin.
f) Divulgar el Manual de Polticas de Seguridad de la Informacin en todos los
niveles jerrquicos, as como la asignacin de responsabilidades en las
garantas de seguridad en los procesos.
g) Monitorear continuamente los resultados de gestin de la seguridad, a fin de
realizar mejoras a los procedimientos y la actualizacin o incorporacin de
nuevos procedimientos ante los cambios en la Institucin.
h) Realizar evaluaciones de riesgos programadas, a fin de actualizar el
diagnstico de riesgos y el desarrollo de acciones para su prevencin o
mitigacin.
i) Implementar medidas de clasificacin de la informacin con mltiple propsito,

no solo seguridad de la informacin sino tambin para los propsitos
administrativos de back up y segregacin.
j) Implementar medidas fsicas de restriccin a los espacios clave para
procesamiento de la informacin y proteccin de activos.
93
k) Establecer e implementar los planes de continuidad del negocio para las reas
crticas de la Fundacin, estableciendo responsabilidades, confidencialidad y
procedimientos a desarrollar en caso de incidentes o desastres.
l) Definir los requerimientos de seguridad en el comercio electrnico para su
planificacin.
m) Implementar un registro completo de las actividades en los sistemas y registro
de fallas para su anlisis y toma de decisiones.
n) Implementar la poltica de acceso a aplicaciones e informacin con el fin de
brindar respaldo y garantas al proceso de monitoreo, seguimiento y auditora
informtica, as como en la gestin de incidentes de seguridad.
o) Implementar la poltica de confidencialidad enfocada a la responsabilidad de la
seguridad y seguimiento de procedimientos, as como la accin disciplinaria
que la Institucin estime conveniente.
p) Definir el marco regulatorio que regir los estndares de operacin de la
Institucin ante la ausencia de un ente oficial regulador en el mbito
informtico. Esta deber ser una decisin institucional acorde a sus
necesidades.
q) Redisear los espacios destinados a procesamiento de informacin crtica
considerando aspectos arquitectnicos de seguridad fsica y vulnerabilidad
ante desastres naturales, condiciones de suministro elctrico, suministros de
red, climatizacin, sistema contra incendio entre otros.
r) Se recomienda adoptar las siguientes leyes nacionales y estndares a fin de
implementar su propio sistema regulatorio: Ley de acceso a la informacin
pblica, Ley de equidad de gnero y estndar ISO 18001 OHSAS Seguridad
Laboral.
94
BIBLIOGRAFA
[1] Organizacin Internacional para la Estandarizacin. ISO/IEC 17799:2000

Tecnologa de la informacin Tcnicas de seguridad - Cdigo para la prctica de
la gestin de la seguridad de la informacin. Ao 2000.
[2] Organizacin Internacional para la Estandarizacin. ISO/IEC 27001:2005

Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de
seguridad de la informacin Requerimientos. Ao 2005
[3] Fundacin Salvador del Mundo. Informe de resultados 2011 (PPT). El Salvador.
2011.
[4] Instituto Nacional de Tecnologas de la Comunicacin (INTECO). Gua

avanzada
de
gestin
de
riesgos.
Disponible
en:
www.inteco.es/file/TnOIvX7kM5r8OY-S8r9Bmg. Espaa. Ao 2008.
[5] Instituto de Ingeniera de Software, Universidad Carnegie Mellon. (Software

Engineering Institute). Metodologa OCTAVE (Operationally Critical Threat, Asset,
and Vulnerability Evaluation) para anlisis de riesgo. Estados Unidos. Ao 2002
95
GLOSARIO
A
Activo de informacin
Este tipo de activo representa los datos de la entidad, informacin que tiene valor
para los procesos de negocio, independientemente de su ubicacin: puede ser un
documento fsico debidamente firmado, un archivo guardado en un servidor, un
aplicativo o cualquier elemento que permita almacenar informacin valiosa o til
para FUSALMO.
Activo Crtico
Bien tangible o intangible que posee valor para una organizacin o persona natural
y que es indispensable para las actividades fundamentales de la organizacin.
mbito
Contexto de trabajo o desarrollo.
Amenaza
Posibles eventos que pueden desencadenar un incidente, produciendo daos
materiales o prdidas inmateriales en los activos y en las operaciones normales
del negocio, interrumpiendo en algunos casos los servicios que prestan.
Anlisis de riesgo
Uso sistemtico de una metodologa para estimar los riesgos e identificar sus
fuentes, para los activos o bienes de informacin.
96
B
Back up o copia de seguridad
Copia de respaldo de la informacin.
Benchmarking
Proceso sistemtico y continuo para evaluar productos y/o servicios, as como
procesos de trabajo de otras organizaciones que son reconocidas como
practicantes de un proceso determinado.
C
Confidencialidad
Propiedad que determina que la informacin no est disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
Control
Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye
polticas, procedimientos, guas, estructuras organizacionales, buenas prcticas, y
que pueden ser de carcter administrativo, tcnico o legal.
Continuidad de negocio
Capacidad estratgica y tctica de la organizacin para planificar y responder ante
los incidentes e interrupciones del negocio, con el fin de permitir la continuidad de
las actividades comerciales en un nivel aceptable previamente definido.
D
Disponibilidad
Propiedad de que la informacin sea accesible y utilizable por solicitud de una
entidad autorizada.
97
Data Lost Prevention

Herramienta que identifica, supervisa y protege la informacin confidencial
almacenada, en uso o en trnsito dentro de la red, estaciones de trabajo o
dispositivos mviles.
E
Estndar de referencia
En este contexto se refiere al Estndar internacional ISO/IEC 27001:2005
Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de
seguridad de la informacin Requerimientos.
Encriptacin
Tcnica usada para transformar los datos y su contenido mediante la aplicacin de
un cdigo secreto con el objeto de evitar que sean conocidos por personas no
autorizadas durante su transmisin por canales de comunicaciones o en su
almacenamiento en soportes de acceso pblico.
F
Firewall
Sistema de defensa basado en que el trfico de entrada o salida a la red pasa por
un sistema de seguridad que autoriza, deniega y registra todo evento en funcin
de una poltica de seguridad; controlando la comunicacin interna y externa de la
red.
G
Gestin del riesgo.
Actividades coordinadas para dirigir y controlar una organizacin con relacin al
riesgo.
98
I
Incidente de seguridad de la informacin.
Se considera un Incidente de Seguridad de la Informacin a cualquier evento que
haya vulnerado la seguridad de la informacin o que intente vulnerarla, sin
importar la informacin afectada, la plataforma tecnolgica, la frecuencia, las
consecuencias, el nmero de veces ocurrido o el origen (interno o externo).
Informacin
Conjunto organizado de datos procesados, que tienen valor para la organizacin.
Integridad
Propiedad de salvaguardar la exactitud y estado completo de los activos.
O
Objetivo del estndar
Meta en funcin de condiciones a lograr.
P
Plan de implementacin
Conjunto de actividades a desarrollar en la adopcin de un modelo o estrategia.
Permetro de seguridad
Delimitacin de un espacio fsico por medio de una barrera (pared, puerta de
acceso controlado, entre otros.)
99
R
Riesgo
Posibilidad de que se produzca un acontecimiento que conlleve a prdidas
materiales en el resultado de las operaciones y actividades que desarrollen las
organizaciones.
S
Seguridad de la informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la informacin;
adems tambin pueden estar involucradas otras propiedades como la
autenticidad, responsabilidad, no repudio y confiabilidad.
Sistema de Gestin de Seguridad de la Informacin

Sistema basado en un enfoque de riesgo comercial; para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin.
V
Valoracin estndar
Puntaje asignado en una escala de valoracin definida, como parmetro de
comparacin de una variable.
100
ANEXO 1: ESTNDAR INTERNACIONAL ISO/IEC 27001:2005 SISTEMA DE

GESTIN DE SEGURIDAD DE LA INFORMACIN.
ANEXO 2: MODELO DE ENTREVISTA A PERSONAL CLAVE

a) Modelo de entrevista dirigida a la Direccin Ejecutiva
Nombre del puesto de
Director Ejecutivo
Fecha:
trabajo:
Nombre
del
empleado:
Gua de entrevista:
a) Existe una poltica de seguridad de la informacin en FUSALMO?
b) Quines aprueban esta poltica y cul es su proceso?
c) Cmo es el proceso de divulgacin de la poltica de seguridad de la informacin a los
empleados de la fundacin? Esta publicada en manuales u otro medio?
d) En la fundacin hay un responsable que gestiona la poltica de seguridad de la informacin,
su desarrollo, revisin y evaluacin?
e) Se revisa peridicamente esta Poltica de Seguridad de la Informacin y como se realiza este
proceso? Es planificado? Cmo es aprobado?
f) En la revisin de la poltica de seguridad de la informacin se incluye la revisin de
procedimientos y requisitos?
g) Cul es la posicin de la Direccin de FUSALMO respecto al apoyo en la implementacin de
un modelo de gestin de seguridad de la informacin?
h) Qu acciones ha tomado la direccin en funcin de la Seguridad de la informacin?
Documentos relacionados:
b) Modelo de entrevista dirigida a la Gerencia de Finanzas y Recaudaciones de

Fondos
Nombre del puesto de Gerencia de Finanzas y

Fecha:
trabajo:
Recaudaciones de Fondos
Nombre
del
empleado:
Gua de entrevista:
a) Los activos estn identificados y se mantiene un inventario o registro actualizado?De que
manera se realiza?
b) Cada activo tiene un propietario identificado, restricciones de acceso definidas y acordadas
segn una clasificacin de seguridad? Estas restricciones son revisadas peridicamente?
c) Existen en forma documentada e implementada, regulaciones para el uso adecuado de la
informacin y los activos asociados a una instalacin de procesamiento de la informacin?
d) En el rea que administra se han implementado medidas que garanticen la seguridad de la
144
informacin, estn o no documentadas? Cules son?

e) Existe alguna clasificacin para la informacin considerando su valor, los requerimientos
legales, la sensibilidad y criticidad para la organizacin?
f) Se maneja informacin confidencial o clasificada, de ser asi como es manejada la seguridad
de la informacin?
g) Existe algn mecanismo que garantice que los empleados que tienen acceso a la informacin
clasificada cumplan con las polticas de seguridad implementadas?
h) Anteriormente ha habido incidentes que vulneran la seguridad de la informacin?Como se
han manejado estos incidentes?
c) Modelo de entrevista dirigida a la Gerencia de Recursos Humanos
Nombre del puesto de Gerencia

de
Recursos
Fecha:
trabajo:
Humanos
Nombre
del
empleado:
Gua de entrevista:
a) Previo al empleo, estn definidas y documentadas las funciones de seguridad y
responsabilidades del empleado, contratistas y terceros, de conformidad con la poltica de la
organizacin de seguridad de la informacin?
b) Las funciones y responsabilidades definidas se comunican claramente a los candidatos
durante el proceso de previo al empleo?
c) Existen reglamentos o procedimientos que rigen la verificacin de antecedentes de los
candidatos a empleo?
d) Los controles de verificacin de antecedentes para todos los candidatos a empleo,
contratistas y terceros se llevan a cabo de acuerdo con los reglamentos o procedimientos
establecidos?
e) Los empleados, contratistas y terceros deben firmar un acuerdo de confidencialidad o no
divulgacin como parte de sus trminos y condiciones iniciales del contrato de trabajo? Qu
contempla este acuerdo?
f)
Cmo garantizan que los empleados, contratistas y usuarios de terceros apliquen la

seguridad de acuerdo con las polticas y procedimientos establecidos en la organizacin?
g) Los empleados de la organizacin, contratistas y usuarios de terceros, reciben formacin
adecuada acerca de la seguridad y las actualizaciones peridicas de las polticas y
procedimientos de la organizacin en lo que respecta a su funcin de trabajo?
h) Existe un proceso disciplinario formal para los empleados que han cometido una infraccin
de seguridad? Quin lo hace cumplir y se involucran?
i)
Est definida la responsabilidad para llevar a cabo la terminacin del empleo, o cambio de
empleo? Cul es el procedimiento?
145
j)
Al finalizar el empleo o contrato, existe un proceso que asegura que todos los empleados,
contratistas y usuarios de terceras partes renuncian a todos los activos de la organizacin en
su poder, incluyendo informacin?
k) Al terminar el contrato, se eliminan los derechos de acceso de todos los empleados,
contratistas y usuarios de terceros, a las instalaciones de procesamiento de la informacin y
la informacin? Cmo es el procedimiento?
d) Modelo de entrevista dirigida a la Gerencia de Tecnologa e Innovacin.

Nombre del puesto de Gerencia de Tecnologa e
Fecha:
trabajo:
Innovacin
Nombre
del
empleado:
Gua de entrevista:
a) Existe una poltica de seguridad de la informacin en FUSALMO?
b) Quines aprueban esta poltica y cul es su proceso?
c) Cmo es el proceso de divulgacin de la poltica de seguridad de la informacin a los
empleados de la fundacin? Esta publicada en manuales u otro medio?
d) En la fundacin hay un responsable que gestiona la poltica de seguridad de la informacin,
su desarrollo, revisin y evaluacin?
e) Se revisa peridicamente esta Poltica de Seguridad de la Informacin y como se realiza este
proceso? Es planificado? Cmo es aprobado?
f) En la revisin de la poltica de seguridad de la informacin se incluye la revisin de
procedimientos y requisitos?
g) Las actividades de seguridad de la informacin son coordinadas por representantes de las
diferentes reas involucradas: RRHH, mantenimiento, recursos tecnolgicos, segn sus roles y
responsabilidades pertinentes?
h) Cmo se define la responsabilidad de seguridad para la proteccin de activos en procesos
especficos, especialmente aquellos que se relacionan con la seguridad de la informacin?
i) Existe un procedimiento para la autorizacin de nuevos medios de procesamiento de
informacin: software, hardware, entre otros?
j) Se han definido los requerimientos de los acuerdos de confidencialidad o no divulgacin
para la proteccin de la informacin?
k) Estos acuerdos de confidencialidad son revisados peridicamente?
l) Existe un procedimiento que defina la forma en que los incidentes deben ser reportados y
adems quin y cundo podr contactar a las autoridades que den respuesta a estos
incidentes, tales como: autoridad judicial, departamento de bomberos, denuncias de abuso,
entre otros?
m) FUSALMO mantiene contacto con grupos de inters o foros de seguridad especializados y
146
asociaciones profesionales en relacin a la seguridad de la informacin?

n) La revisin de polticas, objetivos, controles, procesos y procedimientos, es decir el enfoque
de la organizacin para la seguridad de la informacin y su implementacin, se revisa de
forma independiente a intervalos planificados?
o) Previo a otorgar el acceso a terceros, se identifican e implementan las medidas adecuadas,
en funcin de los riesgos para la seguridad de la informacin y las instalaciones de
procesamiento de la informacin, que implica el acceso de un tercero? Cmo se identifican
estos riesgos?
p) Previo a otorgar a los clientes acceso a la informacin de la organizacin o de los activos, se
cumplen todos los requisitos de seguridad identificados previamente?
q) En los acuerdos con terceros, se cumplen los requisitos de seguridad en cuanto a: la
participacin de acceso, procesamiento, comunicacin y gestin de la informacin de la
organizacin, instalaciones de procesamiento de la informacin, o la introduccin de
productos o servicios para la facilidad del procesamiento de la informacin?
r) Los empleados, contratistas y terceros deben firmar un acuerdo de confidencialidad o no
divulgacin como parte de sus trminos y condiciones iniciales del contrato de trabajo? Qu
contempla este acuerdo?
s) Cmo garantizan que los empleados, contratistas y usuarios de terceros apliquen la
t) Los empleados de la organizacin, contratistas y usuarios de terceros, reciben formacin
u) Existe un proceso disciplinario formal para los empleados que han cometido una infraccin
v) Est definida la responsabilidad para llevar a cabo la terminacin del empleo, o cambio de
w) Al finalizar el empleo o contrato, existe un proceso que asegura que todos los empleados,
x) Al terminar el contrato, se eliminan los derechos de acceso de todos los empleados,
y) Cuenta con procedimientos de operacin documentados y estn disponibles a todos los
usuarios cuando sea requerido?
z) Los cambios de los medios y sistemas de procesamiento de la informacin estn
controlados?
aa) Se encuentran aisladas las instalaciones de prueba con las instalaciones operacionales de
sistemas?
bb) Se tiene asegurado que los terceros implementan, operan y mantienen los controles de
seguridad, definiciones de servicio y niveles de entrega incluidos en el contrato de entrega de
los servicios de terceros?
cc) Son auditados regularmente los servicios prestados por terceros?
dd) Son monitoreadas la capacidad, demanda y los requerimientos de las proyecciones futuras,
147
asegurando que la fuente de procesamiento y almacenamiento se encuentre disponible?

ee) Se tienen establecidos los criterios de aceptacin para los sistemas de informacin nuevos,
actualizaciones y versiones nuevas?
ff) Las pruebas realizadas al sistema son ejecutadas antes de la aceptacin de este?
gg) Son desarrollados e implementados apropiadamente las alertas de deteccin, recuperacin
de la informacin y prevencin, en caso se presente un cdigo malicioso?
hh) La ejecucin de cdigo mvil no autorizados son denegados?
ii) Las copias de seguridad de informacin y software son utilizadas y probadas peridicamente
de acuerdo con la poltica de respaldo establecida?
jj) Toda la informacin esencial y software se puede recuperar despus de un desastre o mal
funcionamiento en los medios de almacenamiento?
kk) Existen procedimientos para la administracin de dispositivos extrables como memorias
USB, discos duros externos, tarjetas de memoria?
ll) Existe una poltica, procedimiento y control en sitio del intercambio de la informacin que
asegure la proteccin de la informacin?
mm) La informacin involucrada en la mensajera electrnica est protegida?
nn) La informacin involucrada en el comercio electrnico pasando sobre la red pblica est
protegida de la actividad fraudulenta, disputa de contrato, y cualquier acceso no autorizado o
modificacin?
oo) La informacin involucrada en las transacciones en lnea est protegida para prevenir la
trasmisin incompleta, mal enrutamiento, alteracin de mensaje no autorizado y la
reproduccin o duplicacin no autorizada?
pp) Se mantienen registros de las actividades de auditoria, excepciones y eventos de seguridad
de la informacin, estos son mantenidos por un periodo de tiempo acordado para ayudar en
investigaciones futuras y monitoreo del control de acceso?
qq) Existe una poltica de control de acceso desarrollada y revisada en base a los requerimientos
comerciales y de seguridad?
rr) A los usuarios y proveedores de servicios se les dio una declaracin clara de los
requerimientos operativos que deben cumplir ante los controles de acceso?
ss) La asignacin y uso de privilegios en el entorno del sistema de informacin est restringido y
controlado?
tt) La asignacin y reasignacin de las contraseas estn controlados a travs de un proceso
formal de gestin?
uu) A los usuarios se les pide que firmen una declaracin para mantener la confidencialidad de
la contrasea?
vv) Hay alguna prctica de seguridad para guiar a los usuarios en la seleccin y el
mantenimiento de contraseas seguras?
ww) La organizacin ha adoptado la poltica de escritorio limpio en lo que respecta a los
documentos y medios de almacenamiento extrables y la poltica de pantalla limpia en lo que
respecta a los medios de procesamiento de la informacin?
xx) Existen controles del ruteo de las redes para asegurar que las conexiones de cmputo y
flujos de informacin no infrinjan las polticas de control de acceso de las aplicaciones
comerciales?
yy) El acceso al sistema operativo est controlado por procedimientos de seguridad en el inicio
de sesin?
zz) A todos los usuarios se les proporciona una identificacin nica (ID de usuario) para su uso
personal y exclusivo, incluye a operadores, administradores de sistemas y todo el resto del
personal, incluyendo tcnicos?
148
aaa) Las sesiones inactivas se cierran despus de un perodo definido de inactividad?

bbb) Los sistemas vulnerables o sensibles poseen un ambiente aislado?
ccc) El acceso a la informacin y funciones de aplicacin del sistema est restringido para los
usuarios y personal de apoyo, de acuerdo con la poltica de control de acceso definidas?
ddd) Los requisitos de seguridad para los nuevos sistemas de informacin y la mejora de los
sistemas de informacin existentes, especifican los requisitos para los controles de
seguridad?
eee) La organizacin tiene una poltica sobre el uso de controles criptogrficos para la
proteccin de la informacin y es aplicada con xito?
fff) Se ha implementado procedimientos para controlar la instalacin de software en los
sistemas operativos?
ggg)
Se ha implementado estrictos controles para restringir el acceso al cdigo fuente de los
programas?
hhh) Se ha implementado un proceso o procedimiento para revisar y comprobar las
aplicaciones crticas de negocio ante un impacto adverso en las operaciones de la
organizacin o de la seguridad despus de los cambios al sistema operativo?
iii) Se genera informacin oportuna acerca de las vulnerabilidades tcnicas de los sistemas de
informacin que se utilizan?La organizacin presenta las vulnerabilidades evaluadas y las
medidas adecuadas que han sido adoptadas para mitigar el riesgo asociado?
jjj) Se ha establecido responsabilidades y procedimientos de gestin para garantizar una
respuesta rpida, efectiva y ordenada a los incidentes de seguridad de la informacin?
kkk)
Se ha implementado un mecanismo para identificar y cuantificar el tipo, volumen y
costos de los incidentes de seguridad de la informacin?
lll) La informacin obtenida de la evaluacin de los ltimos incidentes de seguridad de la
informacin se utiliza para identificar los incidentes recurrentes o de alto impacto?
mmm) Las evidencias relacionadas con el incidente son recolectadas, retenidas y presentadas
conforme a las normas de manejo de evidencia?
nnn) Existe un proceso controlado de los requisitos de seguridad de la informacin para
desarrollar y mantener la continuidad del negocio en toda la organizacin?
ooo) Se desarrollan planes para mantener y restaurar las operaciones de negocio, asegurar la
disponibilidad de la informacin en el nivel requerido y en el marco de tiempo requerido
despus de una interrupcin o falla de los procesos del negocio?
ppp) El plan de continuidad del negocio asegura que todos los miembros del equipo de
recuperacin y personal pertinente estn al tanto de los planes, su responsabilidad para la
continuidad del negocio y seguridad de la informacin, y conocen su funcin cuando el plan lo
indica?
qqq) Se han definido de forma explcita y documentada para cada sistema de informacin y
organizacin, todos los requisitos legales pertinentes, los reguladores, contractuales y el
enfoque de la organizacin para cumplir con los requisitos?
rrr) Los registros importantes de la organizacin estan protegidos ante la destruccin, prdida y
falsificacin, de acuerdo con el requisito legal, reglamentario, contractual y los
requerimientos del negocio?
149
e) Modelo de entrevista dirigida a la Coordinacin de Recursos Tecnolgicos.
Nombre del puesto de Coordinacin de recursos

Fecha:
trabajo:
tecnolgicos
Nombre
del
empleado:
Gua de entrevista:
a) Las actividades de seguridad de la informacin son coordinadas por representantes de las
diferentes reas involucradas: RRHH, mantenimiento, recursos tecnolgicos, segn sus roles y
responsabilidades pertinentes?
b) Cmo se define la responsabilidad de seguridad para la proteccin de activos en procesos
especficos, especialmente aquellos que se relacionan con la seguridad de la informacin?
c) Existe un procedimiento para la autorizacin de nuevos medios de procesamiento de
informacin: software, hardware, entre otros?
d) Se han definido los requerimientos de los acuerdos de confidencialidad o no divulgacin
para la proteccin de la informacin?
e) Estos acuerdos de confidencialidad son revisados peridicamente?
f) Existe un procedimiento que defina la forma en que los incidentes deben ser reportados y
adems quin y cundo podr contactar a las autoridades que den respuesta a estos
incidentes, tales como: autoridad judicial, departamento de bomberos, denuncias de abuso,
entre otros?
g) FUSALMO mantiene contacto con grupos de inters o foros de seguridad especializados y
asociaciones profesionales en relacin a la seguridad de la informacin?
h) La revisin de polticas, objetivos, controles, procesos y procedimientos, es decir el enfoque
de la organizacin para la seguridad de la informacin y su implementacin, se revisa de
forma independiente a intervalos planificados?
i)
Previo a otorgar el acceso a terceros, se identifican e implementan las medidas adecuadas,

en funcin de los riesgos para la seguridad de la informacin y las instalaciones de
procesamiento de la informacin, que implica el acceso de un tercero? Cmo se identifican
estos riesgos?
j) Previo a otorgar a los clientes acceso a la informacin de la organizacin o de los activos, se
cumplen todos los requisitos de seguridad identificados previamente?
k) En los acuerdos con terceros, se cumplen los requisitos de seguridad en cuanto a: la
participacin de acceso, procesamiento, comunicacin y gestin de la informacin de la
organizacin, instalaciones de procesamiento de la informacin, o la introduccin de
productos o servicios para la facilidad del procesamiento de la informacin?
l) Los activos estn identificados y se mantiene un inventario o registro actualizado?

m) Cada activo tiene un propietario identificado, restricciones de acceso definidas y acordadas
segn una clasificacin de seguridad? Estas restricciones son revisadas peridicamente?
n) Existen en forma documentada e implementada, regulaciones para el uso adecuado de la
informacin y los activos asociados a una instalacin de procesamiento de la informacin?
o) Existe alguna clasificacin para la informacin considerando su valor, los requerimientos
legales, la sensibilidad y criticidad para la organizacin?
150
p) Existe un procedimiento definido para el etiquetado de informacin y la manipulacin, de

acuerdo con el esquema de clasificacin adoptado por la organizacin?
q) Cmo garantizan que los empleados, contratistas y usuarios de terceros apliquen la
r) Los empleados de la organizacin, contratistas y usuarios de terceros, reciben formacin
s) Existe un proceso disciplinario formal para los empleados que han cometido una infraccin
t) Est definida la responsabilidad para llevar a cabo la terminacin del empleo, o cambio de
u) Al finalizar el empleo o contrato, existe un proceso que asegura que todos los empleados,
v) Al terminar el contrato, se eliminan los derechos de acceso de todos los empleados,
w) Cuenta con procedimientos de operacin documentados y estn disponibles a todos los
usuarios cuando sea requerido?
x) Los cambios de los medios y sistemas de procesamiento de la informacin estn
controlados?
y) Se encuentran aisladas las instalaciones de prueba con las instalaciones operacionales de
sistemas?
z) Se tiene asegurado que los terceros implementan, operan y mantienen los controles de
seguridad, definiciones de servicio y niveles de entrega incluidos en el contrato de entrega de
los servicios de terceros?
aa) Son auditados regularmente los servicios prestados por terceros?
bb) Son monitoreadas la capacidad, demanda y los requerimientos de las proyecciones futuras,
asegurando que la fuente de procesamiento y almacenamiento se encuentre disponible?
cc) Se tienen establecidos los criterios de aceptacin para los sistemas de informacin nuevos,
actualizaciones y versiones nuevas?
dd) Las pruebas realizadas al sistema son ejecutadas antes de la aceptacin de este?
ee) Son desarrollados e implementados apropiadamente las alertas de deteccin, recuperacin
de la informacin y prevencin, en caso se presente un cdigo malicioso?
ff) La ejecucin de cdigo mvil no autorizados son denegados?
gg) Las copias de seguridad de informacin y software son utilizadas y probadas peridicamente
de acuerdo con la poltica de respaldo establecida?
hh) Toda la informacin esencial y software se puede recuperar despus de un desastre o mal
funcionamiento en los medios de almacenamiento?
ii) Existen procedimientos para la administracin de dispositivos extrables como memorias
USB, discos duros externos, tarjetas de memoria?
jj) Existe una poltica, procedimiento y control en sitio del intercambio de la informacin que
asegure la proteccin de la informacin?
kk) La informacin involucrada en la mensajera electrnica est protegida?
ll) La informacin involucrada en el comercio electrnico pasando sobre la red pblica est
protegida de la actividad fraudulenta, disputa de contrato, y cualquier acceso no autorizado o
151
modificacin?
mm) La informacin involucrada en las transacciones en lnea est protegida para prevenir la
trasmisin incompleta, mal enrutamiento, alteracin de mensaje no autorizado y la
reproduccin o duplicacin no autorizada?
nn) Se mantienen registros de las actividades de auditoria, excepciones y eventos de seguridad
de la informacin, estos son mantenidos por un periodo de tiempo acordado para ayudar en
investigaciones futuras y monitoreo del control de acceso?
oo) Existe una poltica de control de acceso desarrollada y revisada en base a los requerimientos
comerciales y de seguridad?
pp) A los usuarios y proveedores de servicios se les dio una declaracin clara de los
requerimientos operativos que deben cumplir ante los controles de acceso?
qq) La asignacin y uso de privilegios en el entorno del sistema de informacin est restringido y
controlado?
rr) La asignacin y reasignacin de las contraseas estn controlados a travs de un proceso
formal de gestin?
ss) A los usuarios se les pide que firmen una declaracin para mantener la confidencialidad de
la contrasea?
tt) Hay alguna prctica de seguridad para guiar a los usuarios en la seleccin y el
mantenimiento de contraseas seguras?
uu) La organizacin ha adoptado la poltica de escritorio limpio en lo que respecta a los
documentos y medios de almacenamiento extrables y la poltica de pantalla limpia en lo que
respecta a los medios de procesamiento de la informacin?
vv) Existen controles del ruteo de las redes para asegurar que las conexiones de cmputo y
flujos de informacin no infrinjan las polticas de control de acceso de las aplicaciones
comerciales?
ww) El acceso al sistema operativo est controlado por procedimientos de seguridad en el
inicio de sesin?
xx) A todos los usuarios se les proporciona una identificacin nica (ID de usuario) para su uso
personal y exclusivo, incluye a operadores, administradores de sistemas y todo el resto del
personal, incluyendo tcnicos?
yy) Las sesiones inactivas se cierran despus de un perodo definido de inactividad?
zz) Los sistemas vulnerables o sensibles poseen un ambiente aislado?
aaa) El acceso a la informacin y funciones de aplicacin del sistema est restringido para los
usuarios y personal de apoyo, de acuerdo con la poltica de control de acceso definidas?
bbb) Los requisitos de seguridad para los nuevos sistemas de informacin y la mejora de los
sistemas de informacin existentes, especifican los requisitos para los controles de
seguridad?
ccc) La organizacin tiene una poltica sobre el uso de controles criptogrficos para la proteccin
de la informacin y es aplicada con xito?
ddd) Se ha implementado procedimientos para controlar la instalacin de software en los
sistemas operativos?
eee) Se ha implementado estrictos controles para restringir el acceso al cdigo fuente de los
programas?
fff) Se ha implementado un proceso o procedimiento para revisar y comprobar las aplicaciones
crticas de negocio ante un impacto adverso en las operaciones de la organizacin o de la
seguridad despus de los cambios al sistema operativo?
ggg)
Se genera informacin oportuna acerca de las vulnerabilidades tcnicas de los sistemas
de informacin que se utilizan?La organizacin presenta las vulnerabilidades evaluadas y las
152
medidas adecuadas que han sido adoptadas para mitigar el riesgo asociado?
hhh) Se ha establecido responsabilidades y procedimientos de gestin para garantizar una
respuesta rpida, efectiva y ordenada a los incidentes de seguridad de la informacin?
iii) Se ha implementado un mecanismo para identificar y cuantificar el tipo, volumen y costos
de los incidentes de seguridad de la informacin?
jjj) La informacin obtenida de la evaluacin de los ltimos incidentes de seguridad de la
informacin se utiliza para identificar los incidentes recurrentes o de alto impacto?
kkk)
Las evidencias relacionadas con el incidente son recolectadas, retenidas y presentadas
conforme a las normas de manejo de evidencia?
lll) Existe un proceso controlado de los requisitos de seguridad de la informacin para
desarrollar y mantener la continuidad del negocio en toda la organizacin?
mmm) Se desarrollan planes para mantener y restaurar las operaciones de negocio, asegurar la
disponibilidad de la informacin en el nivel requerido y en el marco de tiempo requerido
despus de una interrupcin o falla de los procesos del negocio?
nnn) El plan de continuidad del negocio asegura que todos los miembros del equipo de
recuperacin y personal pertinente estn al tanto de los planes, su responsabilidad para la
continuidad del negocio y seguridad de la informacin, y conocen su funcin cuando el plan lo
indica?
ooo) Se han definido de forma explcita y documentada para cada sistema de informacin y
organizacin, todos los requisitos legales pertinentes, los reguladores, contractuales y el
enfoque de la organizacin para cumplir con los requisitos?
ppp) Los registros importantes de la organizacin estan protegidos ante la destruccin,
prdida y falsificacin, de acuerdo con el requisito legal, reglamentario, contractual y los
requerimientos del negocio?
qqq) Se ha establecido permetros de seguridad fsica para proteger las reas de
procesamiento de la informacin, tales como vigilancia, barreras fsicas, sistemas de alarma,
entre otros?
rrr) Los controles de entrada estn instalados de modo que solo el personal autorizado de
determinadas reas de la organizacin tiene acceso?
sss) Las instalaciones donde se procesa el servicio de la informacin estn resguardados y
protegidos?
ttt) Cuentan sistema contra incendios, medidas de seguridad ante inundaciones, terremotos y
otros fenmenos naturales o producidos por el hombre?
uuu) Estn controladas las reas de acceso o puntos donde personas no-autorizadas puedan
ingresar a las instalaciones.
vvv)
Los equipos estn protegidos contra amenazas, peligros ambientales y accesos no
autorizados?
www) El equipo est protegido contra fallas de energa y otras interrupciones?
xxx)La fuente de alimentacin y el cable de telecomunicaciones que transporta datos est
protegido contra interrupciones o daos?
yyy)
Existe algn control adicional en sitio para proteger la informacin sensible o crtica?
zzz) Los equipos tienen su mantenimiento apropiado para asegurar la disponibilidad y la
integridad?
aaaa) Los equipos cuentan con el mantenimiento recomendado por el proveedor de servicios y
en los intervalos de tiempo recomendables?
bbbb) El mantenimiento de los equipos es desarrollado solo por personal autorizado?
cccc) Si los equipos son enviados fuera de las instalaciones, cuentan con los controles
153
apropiados?
dddd) Son evaluados los riesgos al usar los equipos fuera de las de las instalaciones de la
organizacin y se han implementados controles de mitigacin?
eeee) El procesamiento de la informacin fuera de las instalaciones de la organizacin son
autorizados por la direccin?
ffff) Los equipos que contienen medios de almacenamiento son chequeados para asegurar que
se les haya removido o sobre-escrito de manera segura cualquier dato confidencial y software
con licencia, antes de su eliminacin?
f) Modelo de entrevista dirigida a la Coordinacin de Mantenimiento.
Nombre del puesto de Coordinacin

trabajo:
mantenimiento
Nombre
del
empleado:
Gua de entrevista:
de
Fecha:
a) Se ha establecido permetros de seguridad fsica para proteger las reas de procesamiento

de la informacin, tales como vigilancia, barreras fsicas, sistemas de alarma, entre otros?
b) Los controles de entrada estn instalados de modo que solo el personal autorizado de
determinadas reas de la organizacin tiene acceso?
c) Las instalaciones donde se procesa el servicio de la informacin estn resguardados y
protegidos?
d) Cuentan sistema contra incendios, medidas de seguridad ante inundaciones, terremotos y
otros fenmenos naturales o producidos por el hombre?
e) Estn controladas las reas de acceso o puntos donde personas no-autorizadas puedan
ingresar a las instalaciones.
f)
g)
h)
i)
j)
k)
l)
m)
Los equipos estn protegidos contra amenazas, peligros ambientales y accesos no

autorizados?
El equipo est protegido contra fallas de energa y otras interrupciones?
La fuente de alimentacin y el cable de telecomunicaciones que transporta datos est
protegido contra interrupciones o daos?
Los equipos tienen su mantenimiento apropiado para asegurar la disponibilidad y la
integridad?
Los equipos cuentan con el mantenimiento recomendado por el proveedor de servicios y en
los intervalos de tiempo recomendables?
El mantenimiento de los equipos es desarrollado solo por personal autorizado?
Si los equipos son enviados fuera de las instalaciones, cuentan con los controles apropiados?
Son evaluados los riesgos al usar los equipos fuera de las de las instalaciones de la
organizacin y se han implementados controles de mitigacin?
154
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
QA-026/12-TAI-TS-
SECCION:
00
Portada
MANUAL DE POLITICAS DE SEGURIDAD DE

LA INFORMACION
MANUAL DE POLITICAS DE
SEGURIDAD DE LA
INFORMACION
FUNDACIN SALVADOR DEL MUNDO

(FUSALMO)
OCTUBRE DE 2012, SOYAPANGO.

EL SALVADOR, CENTRO AMRICA
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
00

LA INFORMACION
QA-026/12-TAI-TS-
SECCION:
ndice
PGINA:
i de ii
1. Introduccin .
.
.
.
.
.
.
.
.
2. Objetivo .
.
.
.
.
.
.
.
.
.
3. Alcance .
.
.
.
.
.
.
.
.
.
4. Vigencia y actualizacin del manual, documentos y registros .
.
5. Hoja de control de revisiones
.
.
.
.
.
.
6. Solicitud de cambio en el manual. .
.
.
.
.
.
7. Registro de cambio relevante.
.
.
.
.
.
.
8. Identificacin de revisiones. .
.
.
.
.
.
.
9. Glosario .
.
.
.
.
.
.
.
.
.
10. Poltica del Sistema de Gestin de Seguridad de la Informacin
.
11. Compromiso de la Direccin
.
.
.
.
.
.
12. Regulacin
.
.
.
.
.
.
.
.
.
13. Polticas generales de seguridad de la informacin
.
.
.
14. Organizacin de la funcin de seguridad de la informacin .
.
14.1. Coordinacin de la funcin de seguridad de la informacin .
.
14.2. Autorizacin para el uso de infraestructura de informacin. .
.
14.3. Acuerdos de confidencialidad
.
.
.
.
.
.
14.4. Contacto con las autoridades y con grupos de inters especiales .
14.5. Auditoras internas .
.
.
.
.
.
.
.
14.6. Riesgos relacionados con terceros.
.
.
.
.
.
15. Gestin de activos de informacin .
.
.
.
.
.
15.1. Inventario de activos de informacin
.
.
.
.
.
15.2. Uso adecuado de los activos
.
.
.
.
.
.
15.3. Acceso a internet
.
.
.
.
.
.
.
.
15.4. Correo electrnico .
.
.
.
.
.
.
.
15.5. Recursos tecnolgicos
.
.
.
.
.
.
.
15.6. Clasificacin de la informacin
.
.
.
.
.
.
16. Seguridad en el recurso humano .
.
.
.
.
.
16.1. Responsabilidades del personal .
.
.
.
.
.
16.2. Seleccin de personal.
.
.
.
.
.
.
.
16.3. Trminos y condiciones de empleo.
.
.
.
.
.
16.4. Capacitacin y Entrenamiento en Seguridad de Informacin .
.
16.5. Procesos Disciplinarios.
.
.
.
.
.
.
.
16.6. Finalizacin de vinculacin laboral o cambio de rol. .
.
.
17. Seguridad fsica y ambiental
.
.
.
.
.
.
17.1. Control de acceso fsico
.
.
.
.
.
.
.
17.2. Proteccin y ubicacin de los equipos .
.
.
.
.
17.3. Retiro y seguridad de equipos y medios de informacin fuera de las
Instalaciones .
.
.
.
.
.
.
.
.
17.4. Eliminacin o reutilizacin segura de equipos y medios
.
.
18. Gestin de comunicaciones y operaciones.
.
.
.
.
1
1
1
1
3
4
5
5
6
8
.8
9
9
10
10
10
11
11
11
12
12
12
12
13
14
15
16
17
17
17
17
18
18
18
19
19
19
20
21
21
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
00

LA INFORMACION
QA-026/12-TAI-TS-
SECCION:
ndice
PGINA:
ii de ii
18.1. Documentacin de procedimientos operativos .

.
.
.
18.2. Control de cambios .
.
.
.
.
.
.
.
18.3. Segregacin de funciones .
.
.
.
.
.
.
18.4. Separacin de los ambientes de desarrollo, prueba y produccin. .
18.5. Gestin de la capacidad
.
.
.
.
.
.
.
18.6. Aceptacin de sistemas
.
.
.
.
.
.
.
18.7. Proteccin contra software malicioso
.
.
.
.
.
18.8. Copias de respaldo .
.
.
.
.
.
.
.
18.9. Gestin de medios removibles
.
.
.
.
.
.
18.10. Intercambio de informacin
.
.
.
.
.
.
18.11. Comercio y transacciones electrnicas .
.
.
.
.
18.12. Monitoreo del uso de los sistemas
.
.
.
.
.
19. Control de acceso .
.
.
.
.
.
.
.
19.1. Control de acceso lgico .
.
.
.
.
.
.
19.2. Gestin de contraseas de usuario
.
.
.
.
.
19.3. Escritorios y pantallas limpias
.
.
.
.
.
.
19.4. Segregacin de redes
.
.
.
.
.
.
.
19.5. Computacin mvil .
.
.
.
.
.
.
.
19.6. Teletrabajo .
.
.
.
.
.
.
.
.
20. Adquisicin, desarrollo y mantenimiento de infraestructura
Tecnolgica .
.
.
.
.
.
.
.
.
20.1. Identificacin de requerimientos de seguridad .
.
.
.
20.2. Controles criptogrficos
.
.
.
.
.
.
.
20.3. Seguridad de los sistemas .
.
.
.
.
.
.
20.4. Gestin de vulnerabilidades tcnicas
.
.
.
.
.
21. Gestin de incidentes de seguridad
.
.
.
.
.
21.1. Comunicacin de incidentes y eventos de seguridad de la
Informacin .
.
.
.
.
.
.
.
.
21.2. Manejo de incidentes de seguridad
.
.
.
.
.
22. Administracin de la continuidad del negocio .
.
.
.
22.1. Seguridad de la informacin en la continuidad del negocio .
.
22.2. Anlisis de riesgo e impacto del negocio .
.
.
.
.
22.3. Declaracin de desastre y activacin de los planes de continuidad del
negocio
.
.
.
.
.
.
.
.
.
22.4. Entrenamiento y capacitacin
.
.
.
.
.
.
22.5. Pruebas y mantenimiento del plan de continuidad
.
.
.
23. Cumplimiento de los requerimientos
.
.
.
.
.
23.1. Cumplimiento de requerimientos .
.
.
.
.
.
23.2. Derechos de propiedad intelectual.
.
.
.
.
.
23.3. Proteccin de registros
.
.
.
.
.
.
.
Anexos
.
.
.
.
.
.
.
.
.
.
21
22
22
23
23
24
24
25
25
25
26
26
27
27
27
28
28
29
29
29
29
30
30
31
31
31
32
33
33
33
33
33
34
34
34
34
35
36
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
1 de 35
1. INTRODUCCIN
La Fundacin, reconoce la informacin como un activo fundamental en las
operaciones y el logro de objetivos definidos por la estrategia de la institucin,
razn por la cual establece un marco en el cual se asegure que la informacin est
protegida y disponible independientemente de la forma en la que se maneje,
procese, transporte y almacene.
Por tanto, este documento describe los lineamientos y polticas de seguridad de la
informacin y la forma en que deber administrarse la gestin para su
cumplimiento. Para la elaboracin del mismo, se toman como base las leyes y
regulaciones aplicables, especificados en este caso en el estndar ISO/IEC
27001:2005.
Las polticas descritas en este manual forman parte esencial del Sistema de
Gestin de Seguridad de la Informacin y son la referencia para la
implementacin de los controles, procedimientos y estndares especficos.
Para la Institucin, lo estipulado en este Manual de Seguridad de la Informacin,
tiene prioridad y un compromiso de responsabilidad de todos los miembros de la
fundacin para velar y garantizar que todas las prcticas deben ir en coherencia
con el sentido y espritu de las mismas.
2. OBJETIVO
El objetivo de este Sistema de Gestin de Seguridad de la Informacin es propiciar
y asegurar condiciones razonables que permitan proteger los activos de
informacin en su integridad, confidencialidad y disponibilidad en la Fundacin
Salvador del Mundo, con el fin de regular la gestin y generar confianza en los
clientes internos y externos.
3. ALCANCE
Las polticas de seguridad de la informacin aqu especificadas, contemplan los
aspectos administrativos y de control que deben ser cumplidos por los
colaboradores y terceros que laboren o tengan relacin con la Fundacin Salvador
del Mundo, para conseguir un adecuado nivel de proteccin de las caractersticas
de seguridad y calidad de la informacin.
4. VIGENCIA
REGISTROS
ACTUALIZACIN
DEL
MANUAL,
DOCUMENTOS
Es responsabilidad del Comit de Seguridad de la Informacin y Junta Directiva de

FUSALMO la definicin, actualizacin y mantenimiento del Manual de Polticas de
Seguridad de la Informacin de la Fundacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
2 de 35
Debiendo tener en cuenta para las respectivas revisiones establecidas en el

control de documentos y registros, un periodo de vigencia 4 aos para toda la
documentacin, incluyendo este manual del SGC.
Las actualizaciones de estos documentos antes de la finalizacin del periodo
establecido, podr ser por causas como:
Los incidentes de seguridad
Nuevas vulnerabilidades identificadas
Cambios organizacionales o tecnolgicos, en los procesos, en los objetivos
del sistema o de la fundacin
Mejoras a los procesos
Otros.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
3 de 35
5. HOJA DE CONTROL DE REVISIONES

No.
REVISION
FECHA
REVISION
FECHA
INSERTADA
INSERTADA POR
Esta hoja se utiliza para mantener el control de las revisiones del manual. Cuando
se reciba una revisin, deber anotarse toda la informacin solicitada en este
cuadro y se insertarn las nuevas hojas en el manual. La Gerencia de Tecnologa
e Innovacin conservar por un perodo de seis meses las hojas retiradas despus
de una revisin. No se permiten enmiendas y revisiones escritas a mano excepto
en situaciones en las cuales se necesite hacerlas a beneficio de la seguridad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
FUSAL-MSI-001
REVISION:
LA INFORMACION
PGINA:
00
4 de 35
6. SOLICITUD DE CAMBIOS EN EL MANUAL

Cualquier usuario asignado a la fundacin puede someter una solicitud a travs de
su jefe para cambiar o modificar informacin contenida en este manual.
La solicitud de cambio se realizara utilizando el siguiente formato:
Nombre/ Departamento del solicitante:
Firma del Jefe del Departamento Aprobando:
Firma del Gerente del Departamento Aprobando:
Listar el manual, seccin, pgina y prrafo propuesto a ser revisado:
Anotar el cambio solicitado o adjuntarlo a esta pgina:
El Gerente de Tecnologa e Innovacin, se encargar de evaluar la solicitud y si

procede har la inclusin en la siguiente revisin del manual a ser sometido a la
Junta Directiva.
Si la solicitud es rechazada, el Gerente notificar al solicitante. La notificacin
listar las razones del porque la solicitud fue desaprobada.
Todas las revisiones de este manual sern coordinadas con el Gerente de
Tecnologa e Innovacin antes de ser aprobadas y publicadas a efecto de
asegurar que no exista conflicto con otros manuales.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
5 de 35
7. REGISTRO DE CAMBIOS RELEVANTES

Los siguientes cambios al Manual de Polticas de Seguridad de la Informacin han
sido desarrollados en su Revisin 00:
Seccin
Pgina
Detalle de los Cambios
8. IDENTIFICACION DE REVISIONES
Cuando una revisin es emitida, una lnea a lo largo del margen izquierdo
identificar todo el material corregido.
Toda revisin se actualiza en el encabezado de cada pgina, con su fecha y
nmero de revisin correspondiente, sin afectar el resto del manual.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
6 de 35
9. GLOSARIO
Activo de informacin: Este tipo de activo representa los datos de la entidad,
informacin que tiene valor para los procesos de negocio, independientemente de
su ubicacin puede ser un documento fsico debidamente firmado, un archivo
guardado en un servidor, un aplicativo o cualquier elemento que permita
almacenar informacin valiosa o til para FUSALMO.
Anlisis de riesgos: Uso sistemtico de una metodologa para estimar los riesgos
e identificar sus fuentes, para los activos o bienes de informacin.
Backup o copia de seguridad: Copia de respaldo de la informacin.
Confidencialidad: Propiedad que determina que la informacin no est disponible
ni sea revelada a individuos, entidades o procesos no autorizados.
Control: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo.
Incluye polticas, procedimientos, guas, estructuras organizacionales, buenas
prcticas, y que pueden ser de carcter administrativo, tcnico o legal.
Criticidad: Medida del impacto que tendra la institucin debido a una falla de un
sistema y que ste no funcione como es requerido.
Custodio: Ente, rea, proceso o persona encargada de preservar y resguardar la
informacin entregada y que generalmente son de propiedad de otro proceso o
rea.
Desastre: Hecho natural o provocado por el ser humano que afecta
negativamente a la vida, industria y desemboca con frecuencia en cambios
permanentes en las sociedades humanas.
Disponibilidad: Propiedad de que la informacin sea accesible y utilizable por
solicitud de una entidad autorizada.
Equipo de cmputo: Dispositivo electrnico capaz de recibir un conjunto de
instrucciones y ejecutarlas realizando clculos sobre los datos numricos, o bien
compilando y correlacionando otros tipos de informacin.
Evento de Seguridad de la Informacin: Se considera un Evento de Seguridad
de la Informacin a cualquier situacin identificada que indique una posible brecha
en las Polticas de Seguridad o falla en los controles y/o protecciones
establecidas.
Incidente de Seguridad de la Informacin: Se considera un Incidente de
Seguridad de la Informacin a cualquier evento que haya vulnerado la seguridad
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
7 de 35
de la informacin o que intente vulnerarla, sin importar la informacin afectada, la

plataforma tecnolgica, la frecuencia, las consecuencias, el nmero de veces
ocurrido o el origen (interno o externo).
Infraestructura de Procesamiento de Informacin: Es cualquier sistema de
procesamiento de informacin, servicio, plataforma tecnolgica, o instalacin fsica
que los contenga.
Integridad: Propiedad de salvaguardar la exactitud y estado completo de los
activos.
Medios en trnsito: Son todos aquellos dispositivos autorizados por FUSALMO,
que permiten el almacenamiento de informacin, los cuales pueden ingresar o salir
de las instalaciones de la compaa con la respectiva autorizacin. Se incluyen
equipos porttiles, PDAs, Ipods, reproductores mp3, telfonos celulares, memorias
USB/SD/Mini-SD, CDs, DVDs, respaldo y similares. Asimismo se incluyen correos
electrnicos y conexiones por donde pueda ser transportada la informacin de la
empresa.
Medio removible: Medio que permite llevar o transportar informacin desde un
computador a otro. Los medios removibles incluyen cintas, diskettes, discos duros
removibles, CDs, DVDs, unidades de almacenamiento USB.
Propietario/responsable: Individuo, entidad o unidad de negocio que ha
aceptado la responsabilidad de la administracin para el control, produccin,
desarrollo, mantenimiento, uso y seguridad de los activos de informacin.
Responsable de activo de informacin: es un colaborador o rea de la Gerencia
de Tecnologa e Innovacin de velar porque la informacin a su cargo sea
protegida de manera adecuada.
Sensibilidad: Nivel de impacto que una divulgacin no autorizada podra generar.
Servicio: es cualquier acto o desempeo que una persona puede ofrecer a otra,
que es esencialmente intangible y que no conlleva ninguna propiedad. Su
produccin puede o no estar ligada a un producto fsico.
Soportes fsicos: Datos en soporte papel (cartas, informes, normas, contratos) o
en medios de almacenamiento fsico.
Terceros: Se entiende por tercero a toda persona, jurdica o natural, como
proveedores, contratistas o consultores, que provean servicios o productos a la
Entidad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
10. POLTICA DEL SISTEMA

INFORMACIN.
PGINA:
FUSAL-MSI-001
00
8 de 35
DE GESTIN DE SEGURIDAD DE LA
Para la Institucin, la informacin representa un activo fundamental para el

desarrollo de sus procesos y prestacin de servicios, as como un insumo valioso
para la toma de decisiones eficientes. Motivo por el cual reconoce un compromiso
institucional a nivel de proteccin de sus activos ms significativos como parte de
una visin orientada a la continuidad del negocio, la administracin de riesgos y la
consolidacin de una cultura de seguridad.
Establece una herramienta que le permite: identificar y minimizar los riesgos a los
cuales se expone la informacin, reducir los costos operativos y financieros,
establecer una cultura de seguridad y garantizar el cumplimiento de los
requerimientos legales, contractuales, regulatorios y de negocio vigentes,
canalizados a travs de la implementacin de un Sistema de Gestin de
El proceso de anlisis y determinacin de riesgos de los activos de informacin
representa la base para el desarrollo de las Polticas de Seguridad de la
Informacin y de los controles y objetivos de control seleccionados para obtener
los niveles de proteccin esperados; este proceso ser liderado por el Coordinador
del Comit de Seguridad de la Informacin.
Adems, se compromete a implementar y mantener en el desarrollo de su Sistema
de Gestin de Seguridad de la Informacin, programas de capacitacin en toda la
Institucin, con el propsito de minimizar la ocurrencia y el impacto de incidentes
de seguridad de la informacin como parte de sus procesos de mejora continua.
Esta poltica deber ser revisada y actualizada con regularidad en el marco del
proceso de revisin gerencial, o cuando se identifiquen cambios en procesos o
actividades; cambio en su estructura, objetivos o alguna condicin que afecte la
poltica, para as garantizar que sigue siendo adecuada a los requerimientos
especificados.
11. COMPROMISO DE LA DIRECCIN
La Junta Directiva es el ente que acepta y aprueba la Poltica de Seguridad de la
Informacin como parte del compromiso en el diseo e implementacin de
polticas que garanticen la integridad, confidencialidad y disponibilidad de la
informacin de la Fundacin.
La Junta Directiva y la Direccin Ejecutiva demostrarn su apoyo y compromiso
mediante lo siguiente:
a) Revisar y aprobar las Polticas de Seguridad de la Informacin definidas en
este documento.
b) Promover una cultura de seguridad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
FUSAL-MSI-001
REVISION:
LA INFORMACION
PGINA:
00
9 de 35
c) Divulgar este manual a todos los miembros y niveles de la fundacin.

d) Brindar apertura y disponibilidad necesaria para asegurar los recursos
adecuados para implementar y mantener las Polticas de Seguridad de la
Informacin.
e) Verificar el cumplimiento de las polticas de seguridad de la informacin que se
listan en este manual.
12. REGULACIN
Las polticas dictadas en este manual, debern ser reconocidas, aceptadas y
cumplidas por todo colaborador, miembros o terceros que tengan relacin directa
con la Institucin. En caso de incumplimiento de stas, se considerar como un
incidente de seguridad, que de acuerdo al caso podr dar lugar a un proceso
disciplinario y sancionatorio para los colaboradores, miembros o terceros y se
convertir en una causa vlida de finalizacin de contrato con los colaboradores o
contratistas
13. POLTICAS GENERALES DE SEGURIDAD DE LA INFORMACIN
Las siguientes Polticas de Seguridad de la Informacin, representan la visin
institucional en relacin a la proteccin de los activos de informacin:
a) Existir un Comit de Seguridad de la Informacin, el cual tendr la
responsabilidad de revisar, dar seguimiento y mejora al Sistema de Gestin de
b) Los activos de informacin, sern identificados y clasificados con el propsito
de establecer los mecanismos de proteccin necesarios.
c) Se definir e implantar controles para proteger la informacin contra
violaciones de autenticidad, accesos no autorizados y prdida de integridad,
los cuales debern garantizar la disponibilidad requerida por los colaboradores,
miembros y usuarios de los servicios de la Fundacin.
d) Todos los colaboradores, miembros, terceros y/o contratistas sern
responsables de garantizar la proteccin de la informacin a la cual accedan o
procesen, a fin de evitar su prdida, alteracin, destruccin o uso indebido.
e) Se ejecutarn auditoras y controles peridicos para verificar el cumplimiento
del Sistema de Gestin de Seguridad de la Informacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
10 de 35
f) Exclusivamente se permitir el uso de software autorizado que haya sido

legalmente adquirido por la fundacin.
g) Es responsabilidad de los colaboradores, miembros, terceros y contratistas
reportar los Incidentes de Seguridad, eventos sospechosos y mal uso de los
recursos que identifiquen en sus funciones.
h) Las violaciones y/o adulteraciones a las Polticas y Controles de Seguridad de
la Informacin sern reportadas, registradas y monitoreadas.
i) La Institucin contar con un Plan de Continuidad del Negocio que asegure la
continuidad en el desarrollo de las actividades y operaciones ante la ocurrencia
de incidentes no previstos, provocados o desastres naturales.
14. ORGANIZACIN DE LA FUNCIN DE SEGURIDAD DE LA INFORMACIN
Ref.: ISO/IEC 27001:2005 A.6
14.1 Coordinacin de la funcin de Seguridad de la Informacin
[ISO/IEC 27001:2005 A.6.1.2; A.6.1.3]
La Institucin establece un Comit de Seguridad de la Informacin, conformado
por un grupo interdisciplinario de colaboradores, que ser responsable del anlisis,
revisin y centralizacin de las acciones relacionadas con la gestin de Seguridad
de la Informacin de la Fundacin, con el fin de mantener la vigencia de las
polticas de acuerdo con las necesidades y requisitos de las operaciones de la
Fundacin.
Los integrantes del comit debern tener las siguientes caractersticas:
a) Disciplina.
b) Conocimiento de las operaciones de la empresa
c) Confidencialidad
d) Capacidad de trajo en equipo
e) Propositivos.
14.2 Autorizacin para el Uso de Infraestructura de Informacin
[ISO/IEC 27001:2005 A.6.1.4]
La adquisicin de infraestructura nueva para el procesamiento de informacin
(equipos, software, aplicaciones e instalaciones fsicas) debe ser analizada y
revisada por el Comit de Seguridad de la Informacin y la jefatura del rea
afectada. Esta autorizacin ser de acuerdo a los procedimientos respectivos y
asegurar que las polticas de seguridad sean cumplidas en su totalidad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
11 de 35
14.3 Acuerdos de Confidencialidad

[ISO/IEC 27001:2005 A.6.1.5]
Todos los colaboradores, miembros y terceros deben aceptar los acuerdos de
confidencialidad definidos por la Fundacin, los cuales debern expresar los
compromisos de buenas prcticas de proteccin y uso de la informacin de
acuerdo con los criterios establecidos en ella.
Para el caso de contratistas, los respectivos contratos deben incluir una clusula
de confidencialidad, de igual manera cuando se permita a personas o entidades
externas el acceso a la informacin y/o a los recursos de la Institucin.
Estos acuerdos deben ser aceptados como parte del proceso de contratacin,
razn por la cual esta clusula y/o acuerdo de confidencialidad forma parte integral
de cada uno de los contratos y en caso de violacin debern asumir las
consecuencias y sanciones respectivas.
14.4 Contacto con las Autoridades y con Grupos de Inters Especiales
[ISO/IEC 27001:2005 A.6.1.6; A.6.1.7]
La Institucin debe establecer y mantener contacto cercano con autoridades
(Polica Nacional Civil, bomberos, entre otros), as como con grupos de inters o
foros de especialistas en seguridad, para poder ser contactados oportunamente en
caso de presentarse un incidente de seguridad de la informacin.
14.5 Auditoras Internas
[ISO/IEC 27001:2005 A.6.1.8]
Se programar y ejecutar revisiones internas a su Sistema de Gestin de
Seguridad de la Informacin con el fin de determinar la conformidad de las
polticas, procedimientos y controles establecidos dentro del sistema con lo
acordado en este manual, el cual debe estar actualizado de acuerdo a la mejora
continua en la Fundacin. Para tal propsito se verificarn requerimientos de
seguridad, regulaciones aplicables, y si stos se encuentran implementados y
mantenidos eficazmente. Adems, debe definir un programa de auditoras y
basado en ello stas debern ser ejecutadas. En caso de ser necesario se pueden
programar revisiones parciales o totales sobre un proceso, rea, etc. Ello con el
propsito de verificar la eficacia de las acciones correctivas cuando sean
identificadas como no conformidades. Las auditoras al Sistema de Gestin de
Seguridad de la Informacin podrn ser desarrolladas por cualquier colaborador,
miembro y/o tercero que cumpla con el perfil, los requisitos establecidos por la
fundacin y mantenga un criterio de revisin objetiva en el cual no audite la misma
rea involucrada.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
12 de 35
14.6 Riesgos Relacionados con Terceros

[ISO/IEC 27001:2005 A.6.2.2]
La Institucin determina los posibles riesgos que pueden generar el acceso,
procesamiento, comunicacin o gestin de la informacin e infraestructura para su
procesamiento por parte de terceros, con el fin de establecer los mecanismos de
control necesarios para garantizar la seguridad. Los controles que a partir del
anlisis de riesgos se establezcan como necesarios, deben ser comunicados y
aceptados por el tercero mediante la firma de acuerdos de confidencialidad,
previamente a la entrega de los accesos requeridos.
15. GESTIN DE ACTIVOS DE INFORMACIN
Ref.: ISO/IEC 27001:2005 A.7
15.1 Inventario de Activos de Informacin
[ISO/IEC 27001:2005 A.7.1.1; A.7.1.2]
Los diferentes departamentos, colaboradores, miembros y/o terceros deben
garantizar el adecuado uso, administracin y control sobre los activos de la
fundacin, deben mantener un inventario actualizado de los activos que se
encuentran dentro del alcance del Sistema de Gestin de Seguridad de la
Informacin. El consolidado actualizado de los activos informticos quedar en
custodia del Comit de Seguridad de la Informacin.
15.2 Uso Adecuado de los Activos
[ISO/IEC 27001:2005 A.7.1.3]
Son activos propiedad de la Institucin: la informacin, archivos fsicos, sistemas,
servicios, y equipos (equipos de escritorio, porttiles, impresoras, redes, Internet,
correo electrnico, herramientas de acceso remoto, aplicaciones, telfonos y fax,
entre otros), los cuales se proporcionan a los colaboradores, miembros y terceros
autorizados, para cumplir con los propsitos de la fundacin.
Por tanto, la Fundacin podr monitorear, supervisar y utilizar su informacin,
sistemas, servicios y equipos, de acuerdo con lo establecido en este manual y en
cualquier proceso legal que se requiera, cuando sta lo estime conveniente.
Las normas relacionadas con el acceso y las restricciones a los documentos
pblicos, determinarn las condiciones de acceso a los documentos fsicos y
digitales.
La consulta o revisin de informacin contenida en expedientes o documentos que
estn en custodia de la Institucin se permitir en das y horas laborales, con la
presencia del colaborador o jefe inmediato responsable. Estos privilegios sern
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
13 de 35
establecidos por el Jefe de rea, quien comunicar al responsable de

administracin del software el listado con los colaboradores y sus privilegios.
La importancia y dao o alteracin al que estn sujetos los documentos fsicos,
determinar las restricciones y reserva a los que estn sujetos; para lo cual, el
Gerente del rea ser el responsable de determinar el carcter de reserva o
restriccin de dichos documentos.
Todos los colaboradores, miembros y terceros que manipulen informacin en el
desarrollo de sus funciones deben someterse a lo descrito en el acuerdo de
confidencialidad de la informacin, donde individualmente se comprometan a no
divulgar, usar o explotar la informacin confidencial a la que tengan acceso,
respetando los niveles establecidos en este manual para la clasificacin de la
informacin.
15.3 Acceso a Internet
La Institucin debe controlar, verificar y monitorear el uso adecuado de este
recurso para todos los casos, bajo los siguientes lineamientos:
a) No est permitido:
a. El acceso a cualquier pgina en contra de la tica moral o de procedencia
poco segura.
b. El acceso y el uso de servicios interactivos o mensajera instantnea como
Facebook, Twiter, MSN Messenger, Yahoo, Skype y otros que determine la
Fundacin, que tengan como objetivo fines diferentes a las actividades
propias de la Fundacin.
c. Uso de marcas, sellos y logos en informacin escrita o electrnica sin previa
autorizacin.
d. El intercambio no autorizado de la informacin institucional con terceros o
sus colaboradores.
e. La descarga, uso, intercambio y/o instalacin de aplicaciones que atenten
contra la propiedad intelectual, contengan archivos ejecutables y/o
herramientas que atenten contra la integridad, disponibilidad y/o
confidencialidad de la infraestructura tecnolgica. As tambin la descarga,
uso, intercambio y/o instalacin de informacin audiovisual (videos e
imgenes) utilizando sitios pblicos en Internet debe ser autorizada por el
Jefe respectivo y la Gerencia de Tecnologa e Innovacin, o a quienes ellos
deleguen de forma explcita para esta funcin.
b) La Fundacin realizar inspecciones y monitoreo permanente de tiempos de
navegacin y pginas visitadas por parte de los colaboradores, as como las
actividades realizadas durante la navegacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
14 de 35
c) Cada usuario es garante y responsable de dar uso adecuado a este recurso y

en ningn caso deber ser usado para otro propsito que no sea las
obligaciones adquiridas con la Institucin, estipuladas en su contrato laboral.
d) Los colaboradores, miembros y terceros, al igual que los empleados o
subcontratistas de stos, no pueden asumir a nombre de FUSALMO,
posiciones personales en encuestas de opinin, foros u otros medios similares.
e) Los colaboradores no miembros del Comit de Seguridad enven o divulguen
informacin a clientes o terceros.
f) Cualquier uso no considerado en las restricciones anteriores, es permitido
siempre que se ejecute de manera tica, razonable, responsable, no abusiva y
sin afectar la proteccin de la informacin de la Fundacin, siendo aprobado
por el Comit de Seguridad.
15.4 Correo Electrnico
Los colaboradores, miembros y terceros autorizados, a quienes la Fundacin les
asigne una cuenta de correo electrnico institucional, debern quedar sujetos a los
siguientes lineamientos:
a) La cuenta de correo electrnico debe ser usada para ejecutar, operar y
desempear las funciones asignadas dentro de FUSALMO, as mismo podr ser
utilizada para uso personal, siempre que se realice en forma tica, razonable,
responsable, en concordancia con las buenas prcticas de seguridad de la
informacin relacionadas a la actividad laboral.
b) Los mensajes y la informacin contenida en los buzones de correo son
propiedad de FUSALMO y cada usuario, responsable de su buzn, debe mantener
slo los mensajes relacionados con el desarrollo de sus funciones.
c) La capacidad de los buzones de correo y el tamao de envo y recepcin de
mensajes es determinado por la Gerencia de Tecnologa e Innovacin de acuerdo
con las necesidades de cada usuario y previa autorizacin del Jefe de la
dependencia correspondiente.
e) Entre las prohibiciones estn enviar cadenas de correo, mensajes con
contenido poltico, racista, sexista, pornogrfico, publicitario no institucional o
cualquier otro tipo de mensajes que atenten contra la dignidad y la productividad
de las personas o el normal desempeo del servicio de correo electrnico en la
Institucin, mensajes que puedan afectar los sistemas internos o de terceros o que
vayan en contra de las leyes, la moral y mensajes que inciten a realizar prcticas
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
15 de 35
ilcitas o promuevan actividades ilegales. No est permitido el envo de archivos

que contengan extensiones ejecutables, bajo ninguna circunstancia.
El envo de archivos de msica y videos. En caso de requerir hacer un envo de
este tipo de archivos deber ser autorizado por la direccin respectiva y la
Gerencia de Tecnologa e Innovacin si as se requiere.
f) El envo de informacin institucional debe ser realizado exclusivamente desde la
cuenta de correo autorizada y proporcionada por FUSALMO. De igual modo, las
cuentas de correo para uso general no se deben emplear para uso personal.
g) El envo de mensajes publicitarios institucionales deber ser aprobado por el
Responsable de Comunicaciones y autorizado por la Direccin Ejecutiva. Si una
dependencia debe, por alguna circunstancia, realizar envo de correo masivo, de
manera frecuente, este debe ser enviado a travs de una cuenta de correo
electrnico institucional a nombre del remitente y/o servicio habilitado para este fin
y no a travs de cuentas de correo electrnico asignadas a un usuario particular.
h) Toda informacin institucional, generada con los diferentes programas de
software, que requiera ser enviada o compartida fuera de la Fundacin y que por
sus caractersticas de confidencialidad e integridad deba ser protegida, deber
estar en formatos no editable, utilizando las caractersticas de seguridad que
brindan las herramientas proporcionadas por la Gerencia de Tecnologa e
Innovacin. La informacin puede ser enviada en el formato original bajo la
responsabilidad del usuario y nicamente cuando el receptor requiera hacer
cambios a la informacin.
i) Todos los mensajes enviados deben respetar el formato estndar e imagen
institucional definido por FUSALMO y deben conservar en todos los casos el
mensaje legal institucional de confidencialidad.
15.5 Recursos Tecnolgicos
FUSALMO reglamenta el adecuado uso de los recursos tecnolgicos asignados
bajo los siguientes lineamientos:
a) La instalacin de cualquier tipo de software o hardware es exclusiva
responsabilidad de la Gerencia de Tecnologa e Innovacin, siendo los nicos
autorizados para realizar esta labor. As mismo, los medios de instalacin de
software deben ser los proporcionados por la Fundacin a travs de esta gerencia.
b) Los usuarios no estn autorizados para realizar cambios relacionados con la
configuracin del equipo informtico que les ha sido asignado, entre ellos:
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
16 de 35
conexiones de red, usuario del equipo, papel tapiz y protector de pantalla

institucional, entre otros. Estos cambios podrn realizarse nicamente por la
Gerencia de Tecnologa e Innovacin.
c) La Gerencia de Tecnologa e Innovacin debe definir y actualizar la lista de
software y aplicaciones autorizadas que se encuentran permitidas para ser
instaladas en los equipos informticos de los usuarios. De igual modo, realizar el
control y verificacin de cumplimiento de licenciamiento del respectivo software y
aplicaciones.
d) nicamente los colaboradores, miembros y terceros autorizados por la
Gerencia de Tecnologa e Innovacin, previa solicitud por parte de quien lo
requiera, pueden conectarse a la red inalmbrica de la Institucin.
e) La sincronizacin de dispositivos mviles entre los que se pueda realizar
intercambios de informacin con cualquier recurso de la Fundacin, debe estar
autorizado de forma explcita por la dependencia respectiva, en conjunto con la
Gerencia de Tecnologa e Innovacin y podr llevarse a cabo slo en dispositivos
provistos por la fundacin
para este fin. Entre los dispositivos: PDAs,
smartphones, celulares u otros dispositivos electrnicos.
15.6 Clasificacin de la Informacin
[ISO/IEC 27001:2005 A.7.2]
La Institucin ha establecido niveles para la clasificacin de la informacin,
incluyendo la informacin que puede encontrarse en medio electrnico, impreso, u
otro medio; con el fin de resguardar la informacin que pueda ser sujeto de
divulgacin no autorizada o manipulada errneamente por parte de sus
colaboradores, miembros y terceros.
Por tanto, toda informacin de la Fundacin debe ser identificada, clasificada y
documentada de acuerdo con los criterios de clasificacin establecidos por el
Comit de Seguridad de la Informacin.
Los niveles de clasificacin de la informacin son:
a) Pblica: Colaboradores, miembros, terceros y pblico en general el acceso a la
informacin.
b) Confidencial: Informacin para uso interno de la institucin y se determinar
quin podr tener acceso a ella.
c) Restringida: Informacin con acceso nico y exclusivo para colaborador y
miembros que indispensablemente necesiten la informacin para el desarrollo
de sus actividades y toma de decisiones.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
17 de 35
El nivel de clasificacin de cada activo de informacin estar determinado por los

propietarios de tales activos tomando en cuenta los criterios de clasificacin.
16. SEGURIDAD EN EL RECURSO HUMANO
Ref.: ISO/IEC 27001:2005 A.8
16.1 Responsabilidades del personal
[ISO/IEC 27001:2005 A.8.1.1]
Todos los colaboradores, miembros y terceros que tienen la posibilidad de acceder
a la informacin institucional y a la infraestructura para su procesamiento, son
responsables de conocer y cumplir con las polticas y procedimientos establecidos
en el Sistema de Gestin de Seguridad de la Informacin de la Fundacin. De
igual forma, son responsables de reportar el incumplimiento de las polticas y
procedimientos establecidos.
Todos los colaboradores, miembros y terceros deben ser cuidadosos para no
divulgar informacin confidencial en lugares pblicos, conversaciones o
situaciones que pongan en riesgo la seguridad y el buen nombre de la institucin.
16.2 Seleccin de Personal
[ISO/IEC 27001:2005 A.8.1.2]
Todo proceso laboral realizado por la Institucin ser regido por las leyes de la
Republica de El Salvador, Ley de Equiparacin de Oportunidades y lo dispuesto
en el Cdigo de Trabajo vigente.
Todo colaborador contratado es seleccionado adecuadamente, se asegura la
definicin clara de las responsabilidades de stos y los mecanismos para manejar
el incumplimiento de estos requisitos; sin importar el mtodo de contratacin, todo
colaborador y miembro recibe y acepta las polticas de seguridad de la fundacin.
La Institucin verificar la informacin brindada durante el proceso de contratacin
de los colaboradores; de igual forma, de acuerdo a lo dispuesto en el proceso de
seleccin y contratacin de personal y se realiza investigacin de antecedentes a
todos los candidatos a puestos en la fundacin.
La induccin, informacin de actividades laborales, horarios etc, debern ser
comunicadas al nuevo trabajador a travs del Reglamento Interno de Trabajo
(autorizado por la Direccin Nacional de Trabajo).
16.3 Trminos y Condiciones de Empleo
[ISO/IEC 27001:2005 A.8.1.3]
Todos los colaboradores, miembros y terceros deben aceptar y adoptar las
polticas de Seguridad de la Informacin, as como los trminos de uso adecuado
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
FUSAL-MSI-001
REVISION:
LA INFORMACION
PGINA:
00
18 de 35
de los recursos de informacin que le son entregados, previo a la entrega de stos

y teniendo en cuenta que las responsabilidades se extienden fuera de la
Institucin.
16.4 Capacitacin y Entrenamiento en Seguridad de la Informacin.
[ISO/IEC 27001:2005 A.8.2.2]
La Institucin debe garantizar que todos los colaboradores, miembros o terceros
que tengan definidas responsabilidades en el Sistema de Gestin de Seguridad de
la Informacin, sean competentes para desempear sus funciones y que cuenten
con los programas de capacitacin y entrenamiento requeridos.
As tambin los colaboradores, miembros y terceros, tendrn un proceso de
capacitacin, dndole a conocer las polticas y compromisos del personal en la
seguridad de la fundacin y los riesgos conocidos a los que se puede ver
expuesta, en caso de incumplimiento.
Los programas de capacitacin y educacin se encuentran diseados de manera
apropiada y relevante para los roles, responsabilidades y habilidades de las
personas que deben asistir a ellos de acuerdo al nivel de informacin al que
tengan acceso y basado en los riesgos a los que estn expuestos.
Todos los procesos de contratacin, induccin, capacitacin, educacin debern
ser registrados y anexarlos a los expedientes de los colaboradores.
6.6.16.5 Procesos Disciplinarios
[ISO/IEC 27001:2005 A.8.2.3]
En el caso de identificarse un incidente de seguridad, ste ser registrado e
investigado con el fin de determinar las causas y responsables; posteriormente,
FUSALMO tomar las acciones disciplinarias para el colaborador, miembro y/o
tercero vinculados con el incidente, mediante un proceso disciplinario formal de
acuerdo con la naturaleza, gravedad y/o el impacto que haya podido generar a la
fundacin dicho incidente.
Se utilizara la clasificacin, tipificacin y sanciones clasificadas en el Reglamento
Interno de Trabajo (autorizado por la Direccin Nacional de Trabajo)
6.6.16.6 Finalizacin de Vinculacin Laboral o Cambio de Rol
[ISO/IEC 27001:2005 A.8.3]
El responsable de la Unidad de Recursos Humanos, en conjunto con el jefe
inmediato del colaborador, miembro y/o responsable del tercero, son los
encargados del proceso de finalizacin de contrato de labores y aseguran que
todos los activos propios de la fundacin sean devueltos, los accesos fsicos y
lgicos sean eliminados, y la informacin pertinente sea respaldada por medio de
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
19 de 35
un back up, el cual deber realizarse por un miembro asignado por la Gerencia de
Tecnologa e Innovacin.
En caso de que un colaborador, miembro y/o tercero tenga un cambio de
funciones, se debe seguir los mismos procedimientos, en los cuales se asegure la
entrega de activos, el retiro de los accesos fsicos y lgicos, la transferencia de
informacin y la posterior entrega de los mismos de acuerdo a su nueva funcin.
17. SEGURIDAD FSICA Y AMBIENTAL
REF.: ISO/IEC 27001:2005 A.9
17.1 Control de Acceso Fsico
[ISO/IEC 27001:2005 A.9.1]
Son reas de acceso restringido todas aquellas destinadas al procesamiento o
almacenamiento de informacin sensible, en las que se encuentren los equipos y
dems infraestructura de soporte a los sistemas de informacin y comunicaciones,
por lo que deben contar con medidas de control de acceso fsico mediante
permetro de seguridad, tales que puedan ser auditadas; as tambin contar con
procedimientos de seguridad operacionales que permitan proteger la informacin,
el software y el hardware de daos intencionales o accidentales.
Los centros de cmputo, cableado y reas tcnicas de las oficinas, deben contar
con mecanismos que permitan garantizar que se cumplen los requerimientos
ambientales, especificados por los fabricantes de los equipos que albergan y que
pueden responder de manera adecuada ante incidentes como incendios e
inundaciones; es as como se velara por el cumplimiento de la normativa OHSAS
18000 de Seguridad y Salud Ocupacional en las Empresas, en aspectos como
prevencin de riesgos laborales y seguridad en estructuras organizativas e
instalaciones.
Deben controlarse las reas de carga, descarga, entrega de mercancas y dems
puntos de acceso a las instalaciones y en lo posible separarlas de las reas
seguras para evitar el acceso no autorizado.
Los colaboradores, as como los visitantes, deben portar identificacin visible
mientras permanezcan dentro de las instalaciones de la Fundacin; as mismo,
deben revisarse, actualizarse y monitorearse peridicamente los privilegios de
acceso a las reas seguras y restringidas de la Institucin.
17.2 Proteccin y Ubicacin de los Equipos
[ISO/IEC 27001:2005 A.9.2]
La infraestructura tecnolgica, que incluye servidores, equipos de comunicaciones
y seguridad electrnica, centros de cableado, UPS, subestaciones elctricas, aires
acondicionados, plantas telefnicas y elctricas, as como estaciones de trabajo y
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
20 de 35
dispositivos de almacenamiento y/o comunicacin mvil que contengan y/o

brinden soporte y aseguren que la informacin crtica de las dependencias puedan
ser ubicados y protegidos a fin de prevenir la prdida, dao, robo o acceso no
autorizado a los mismos. Adems, deben alejarse de sitios que puedan tener
riesgo de amenazas incendio, explosivos, agua, polvo, vibracin, interferencia
electromagntica y vandalismo, entre otros. Los colaboradores y subcontratistas,
no pueden fumar, beber o consumir algn tipo de alimento cerca de los equipos a
que tengan acceso como parte de la infraestructura tecnolgica.
La Institucin por medio de mecanismos adecuados monitorear las condiciones
ambientales y temperatura de las zonas donde se encuentren los equipos
(Centros de Cmputo), as como sistemas de proteccin y equipos contra
incendios segn cada riesgo por rea acorde a lo definido en la Asociacin
Nacional de Proteccin contra el fuego ( ingles: National Fire Protection
Association NFPA)
Adems, proveer suministros y equipamiento de soporte que asegure el tiempo
necesario para apagar adecuadamente los servidores donde se alojan los
sistemas de informacin, ante una falla en el suministro, con el fin de evitar la
prdida o corrupcin de informacin. Estos suministros sern monitoreados,
revisados y medidos permanentemente para asegurar su funcionamiento y
condiciones normales de operacin y evitar futuros daos; por otra parte, debe
establecer un programa de planeacin y ejecucin de mantenimientos preventivos
a la infraestructura tecnolgica.
17.3 Retiro y seguridad de equipos y medios de informacin fuera de las
instalaciones.
[ISO/IEC 27001:2005 A.9.2.5; A.9.2.7]
Todos los colaboradores son responsables de velar por la seguridad de los
equipos que se encuentren fuera de sus instalaciones:
a) En ningn caso los equipos informticos, que estn siendo transportados en un
vehculo, pueden ser dejados en lugares pblicos; excepto que haya un
responsable directo.
b) Los equipos de infraestructura deben transportarse bajo medidas de seguridad
apropiadas que garanticen la integridad fsica de los dispositivos.
c) Los equipos porttiles siempre deben transportarse como equipaje de mano y
tener especial cuidado de no exponerlos a campos electromagnticos.
d) Los equipos debern contar con un seguro que los proteja de robo.
e) En caso de robo o prdida deber informarse inmediatamente a la Gerencia de
Tecnologa e Innovacin para que se inicie el trmite interno y deber poner la
denuncia ante la autoridad competente.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
21 de 35
f) La salida de los equipos debe ser autorizada y registrada, de tal manera que se
detallen los datos tcnicos y otros datos importantes para identificacin de
equipo entregado, de igual forma se utilizara esta informacin en el momento
de retorno del mismo.
El retiro de equipo informtico o sus perifricos, dispositivos de almacenamiento,
software e informacin crtica fuera de las instalaciones de la Fundacin debe
realizarse en base a los procedimientos establecidos por la Direccin Ejecutiva y
la Gerencia de Tecnologa e Innovacin.
17.4 Eliminacin o Reutilizacin Segura de Equipos y Medios
[ISO/IEC 27001:2005 A.9.2.6]
La Institucin debe identificar los riesgos relacionados con la destruccin,
reparacin o eliminacin de equipos y medios de almacenamiento; para ello debe
definir e implementar mecanismos y controles adecuados para que la informacin
sensible contenida en ellos sea eliminada de manera segura.
Para el equipo que sea reasignado o dado de baja, se realizar una copia de
respaldo de la informacin, luego el equipo ser sometido a un proceso de
eliminacin segura de la informacin sensible almacenada y del software
instalado, con el propsito de evitar la fuga de informacin y/o recuperacin no
autorizada de la misma.
Los equipos dados de baja en buen estado pueden ser donados a otras
instituciones, asegurando que no lleve informacin o programas con licencia que
pertenecen a la fundacin. En el caso sean para destruccin o reciclaje de partes
se deben buscar empresas o mecanismos que minimicen la contaminacin al
medio ambiente.
Ref.: ISO/IEC 27001:2005 A.10
18.1 Documentacin de Procedimientos Operativos
[ISO/IEC 27001:2005 A.10.1.1]
Con el propsito de asegurar el mantenimiento y operacin adecuada de la
infraestructura tecnolgica, se dispondr de procedimientos, registros e
instructivos de trabajo debidamente documentados y actualizados. Cada
procedimiento tendr un responsable para su definicin y mantenimiento y debe
garantizar la disponibilidad del mismo.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
22 de 35
18.2 Control de Cambios

[ISO/IEC 27001:2005 A.10.1.2]
Los cambios realizados sobre la infraestructura tecnolgica para el procesamiento
de la informacin, comunicaciones y seguridad electrnica deben ser controlados,
gestionados, autorizados adecuadamente y sometidos a una evaluacin que
permita identificar riesgos asociados que pueden afectar la operacin del negocio,
de acuerdo con los lineamientos de gestin de cambios.
El Comit de Seguridad deber revisar todo cambio estructural que se proyecte
realizar sobre las plataformas crticas, estableciendo adems los requerimientos
de seguridad necesarios, conforme a las polticas establecidas y con el fin de
evitar un impacto adverso en las operaciones del negocio.
18.3 Segregacin de Funciones
[ISO/IEC 27001:2005 A.10.1.3]
Toda tarea en la que los colaboradores requieran acceso a la infraestructura
tecnolgica y a los sistemas de informacin, debe estar claramente definida en
cuanto a roles y responsabilidades, as como el nivel de acceso y los privilegios
correspondientes; esto con el propsito de reducir y evitar el uso no autorizado o
modificacin sobre los activos de informacin.
Por tanto:
a) Debern implementarse las reglas de acceso a todos los sistemas de
disponibilidad crtica, de modo que haya segregacin de funciones entre quien
administre, opere, mantenga, audite y tenga la posibilidad de acceder a los
sistemas de informacin, as como entre quien otorga el privilegio y quien lo
utiliza.
b) Los mdulos ejecutables no debern trasladarse directamente de las libreras
de prueba a las libreras de produccin sin que previamente stos hayan sido
compilados por el rea asignada para tal efecto; adems, esta rea asignada
en ningn momento deber ser la misma que se utiliza para el desarrollo y
produccin.
c) El nivel de administrador en los sistemas y equipo debe tener un control, de
modo que exista una supervisin a las actividades realizadas en stos por
parte del administrador del sistema.
d) Deben segregarse las funciones de soporte tcnico, planificadores y
operadores.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
23 de 35
18.4 Separacin de los Ambientes de Desarrollo, Prueba y Produccin

[ISO/IEC 27001:2005 A.10.1.4]
En la Institucin se definen diferentes ambientes para la ejecucin de actividades
de desarrollo, pruebas y puesta en produccin de sus aplicaciones, esto con el fin
de garantizar la integridad de la informacin procesada y evitar interferencias en el
desempeo y seguridad de cada uno de los ambientes.
De modo que se definen los siguientes ambientes:
a) Ambiente de Desarrollo: hardware y software donde se ubican los recursos
informticos necesarios para efectuar tareas relacionadas con la generacin o
modificacin de aplicaciones, entre otros.
b) Ambiente de Prueba: hardware y software que soportan los sistemas de
informacin, los cuales son utilizados para verificar la funcionalidad del
desarrollo de stos y sus aplicativos, para realizar los ajustes necesarios antes
de ser puestos en funcionamiento en el ambiente de produccin.
c) Ambiente de Produccin: hardware y software que soportan los sistemas de
informacin utilizados por los colaboradores para la ejecucin de las
operaciones.
A travs de las polticas de control de acceso fsico y lgico definidas, se controla
cada uno de los ambientes; mientras que los ambientes de desarrollo, pruebas y
produccin deben estar separados, tener su propia plataforma, servidores,
aplicaciones, dispositivos y versiones independientes de los otros ambientes, para
evitar que las actividades de desarrollo y pruebas puedan poner en riesgo la
integridad de la informacin de produccin.
La Gerencia de Tecnologa e Innovacin debe proveer los mecanismos, controles
y recursos necesarios para tener niveles adecuados de separacin fsica y lgica
entre los ambientes de desarrollo, pruebas y produccin para evitar el acceso y
cambios no autorizados; adems, debe asegurar que los usuarios dispongan de
diferentes perfiles para el ambiente de desarrollo, pruebas y de produccin, as
como tambin que los mens muestren los mensajes de identificacin apropiados
para reducir los riesgos de error.
6.6.18.5 Gestin de la Capacidad
[ISO/IEC 27001:2005 A.10.3.1]
La Institucin, con el fin de identificar y controlar el consumo de sus recursos y
prever su crecimiento de forma planificada, realizar un proceso continuo de
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
24 de 35
monitoreo, anlisis y evaluacin del rendimiento y capacidad de la infraestructura

tecnolgica de procesamiento de informacin.
Se realizarn mediciones de la infraestructura tecnolgica, en relacin a las
variables crticas de operacin, con el objetivo de verificar el estado y uso de los
recursos de tal modo de definir proyecciones de crecimiento que aseguren la
integridad de procesamiento y disponibilidad de la infraestructura. Los resultados
de estas mediciones sern analizados y presentados al Comit de Seguridad y, en
caso de ser necesario, se planificar la adquisicin de nuevos recursos o
elementos para soportar la demanda.
18.6 Aceptacin de Sistemas
[ISO/IEC 27001:2005 A.10.3.2]
La Gerencia de Tecnologa e Innovacin asegurar que los requerimientos,
criterios funcionales y tcnicos para la aceptacin de nuevos sistemas,
actualizaciones o nuevas versiones de software, sean claros y definidos, as como
documentados y aprobados acorde a las necesidades de la Institucin. stos
debern migrarse al ambiente de produccin, slo despus de haber sido
formalmente probados.
18.7 Proteccin Contra Software Malicioso
[ISO/IEC 27001:2005 A.10.4]
Los recursos informticos deben estar protegidos mediante herramientas y
software de seguridad como antivirus, anti spam, anti spyware y otras aplicaciones
que brindan proteccin contra cdigo malicioso, contando con los controles
adecuados para detectar, prevenir y recuperar posibles daos causados por
cdigo mvil y malicioso. La Gerencia de Tecnologa e Innovacin autorizar el
uso de las herramientas y asegurar que stas y el software de seguridad, no
sean deshabilitados bajo ninguna circunstancia, as como su actualizacin
permanente.
As mismo, no est permitido:
a) La desinstalacin y/o desactivacin de software y herramientas de seguridad
aprobadas previamente.
b) Escribir, generar, compilar, copiar, propagar, ejecutar o introducir cualquier
cdigo de programacin diseado para daar o afectar el desempeo de
cualquier infraestructura tecnolgica.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
25 de 35
c) El uso de cdigo mvil, siempre que no sea utilizado en base a las polticas y
normas de seguridad definidas o debidamente autorizado por la Gerencia de
Tecnologa e Innovacin.
18.8 Copias de Respaldo
[ISO/IEC 27001:2005 A.10.5]
La Institucin debe asegurar que la informacin con cierto nivel de clasificacin
contenida en su plataforma tecnolgica, sea peridicamente resguardada
mediante mecanismos y controles que garanticen su identificacin, proteccin,
integridad y disponibilidad; adicionalmente, se debe establecer un plan de
restauracin de copias de seguridad que sean probados a intervalos regulares con
el fin de asegurar que son confiables en caso de emergencia.
La Gerencia de Tecnologa e Innovacin establecer procedimientos para el
resguardo y recuperacin de la informacin, deber incluir especificaciones acerca
del traslado, frecuencia e identificacin de la misma, as como los perodos de
retencin; adems, deber disponer de los recursos necesarios para permitir la
identificacin de los medios de almacenamiento, la informacin contenida en ellos
y la ubicacin fsica de los mismos para permitir un rpido y eficiente acceso a los
medios que contienen la informacin resguardada.
El sitio donde se resguardan las copias de seguridad, debe tener los controles de
seguridad adecuados y cumplir con mximas medidas de proteccin y seguridad
fsica. Lo anterior se debe realizar de acuerdo con lo establecido en el
procedimiento Copia de Respaldo (Back up).
18.9 Gestin de Medios Removibles
[ISO/IEC 27001:2005 A.10.7]
La Gerencia de Tecnologa e Innovacin implementar los controles necesarios
para asegurar que en los sistemas de informacin slo los colaboradores
autorizados pueden hacer uso de los medios de almacenamiento removibles. As
mismo, el colaborador se compromete a asegurar fsica y lgicamente el
dispositivo a fin de no poner en riesgo la informacin que est contenida en ellos.
18.10 Intercambio de Informacin
[ISO/IEC 27001:2005 A.10.8]
La Informacin firmar acuerdos de confidencialidad con los colaboradores,
clientes y terceros que por diferentes razones requieran conocer o intercambiar
informacin restringida o confidencial; estos acuerdos especifican las
responsabilidades para el intercambio de informacin para cada una de las partes
y se debern firmar antes de permitir el acceso o uso de la informacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
26 de 35
Todo colaborador de la Institucin es responsable de proteger la confidencialidad

e integridad de la informacin y debe tener especial cuidado en el uso de medios
para el intercambio de informacin que pueda generar una divulgacin o
modificacin no autorizada de la misma, cuyo uso aceptable se especifica en la
poltica sobre el uso adecuado de los activos (15.2).
Son responsables de definir los niveles y perfiles de autorizacin para acceso,
modificacin y eliminacin de la informacin, los propietarios de la informacin que
se quiere intercambiar, y son responsables de implementar los controles que
garanticen el cumplimiento de los criterios de confidencialidad, integridad y
disponibilidad requeridos; as como ser los custodios de esta informacin.
18.11 Comercio y Transacciones Electrnicas
[ISO/IEC 27001:2005 A.10.9]
Para el desarrollo de actividades de comercio y transacciones electrnicas, se
deben definir y establecer mecanismos para generar conexiones y transferencias
de informacin seguras, de acuerdo con las regulaciones aplicables.
Se deben establecer los requerimientos necesarios para proporcionar a los
usuarios la informacin pertinente sobre las transacciones en lnea, tal como las
condiciones y costos de la transaccin, as como las medidas de seguridad
pertinentes; para ello se debe extender un reporte, en papel o por medios
electrnicos, al momento de la realizacin de cada transaccin.
18.12 Monitoreo del Uso de los Sistemas
[ISO/IEC 27001:2005 A.10.10]
Para garantizar la seguridad de la informacin, debe brindar los mecanismos y
controles para detectar las actividades de procesamiento de informacin no
autorizadas.
Se deben generar archivos de registro de eventos definidos por los responsables
de la administracin de las aplicaciones que hacen parte de la infraestructura en el
procesamiento de la informacin, comunicaciones y seguridad.
A partir de la metodologa de anlisis de riesgos de seguridad de la informacin,
debe identificar el nivel de monitoreo requerido para las aplicaciones y dispositivos
tecnolgicos y establecer los controles necesarios para la mitigacin de tales
riesgos. Si en el proceso de la revisin de los archivos de registro de eventos se
evidencia la ocurrencia de un incidente de seguridad, se determinar el nivel de
criticidad del mismo y se seguirn las disposiciones definidas en el procedimiento
de reporte y seguimiento de incidentes de seguridad.
Todos los registros de auditora de los sistemas de informacin slo mantendrn
privilegios de lectura y, a travs de la definicin de perfiles de usuario, sern
protegidos de accesos y modificaciones no autorizadas.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
27 de 35
Todos los relojes de los sistemas informticos deben estar sincronizados, con el
fin de lograr un control apropiado de eventos no deseados en la infraestructura o
para la investigacin efectiva de incidentes.
Ref.: ISO/IEC 27001:2005 A.11
19.1 Control de Acceso Lgico
[ISO/IEC 27001:2005 A.11.1]
El acceso a plataformas, aplicaciones, servicios y a cualquier recurso de
informacin ser asignado de acuerdo a la identificacin de requerimientos de
seguridad y del negocio que definan las diferentes dependencias, as como
normas legales o leyes aplicables a la proteccin de acceso a la informacin en
los sistemas.
Los accesos a plataformas, usuarios y segmentos de red son asignados por los
responsables de la administracin de la infraestructura tecnolgica en base a
procesos formales de autorizacin, los cuales deben ser revisados de manera
peridica por la Gerencia de Tecnologa e Innovacin.
Adems, la dependencia propietaria de la informacin, o quien sta defina, debe
autorizar el acceso a los sistemas de acuerdo con el nivel de clasificacin de la
misma, segn la cual se deben determinar los controles y privilegios de acceso
que se pueden otorgar a los colaboradores y terceros. Cualquier usuario interno o
externo que requiera acceso remoto a la red y a la infraestructura de
procesamiento siempre debe estar autenticado y sus conexiones debern utilizar
cifrado de datos, independientemente si el acceso es por Internet, acceso
telefnico o por otro medio.
19.2 Gestin de Contraseas de Usuario
[ISO/IEC 27001:2005 A.11.2.3]
Los recursos de informacin crticos tienen privilegios de acceso de usuarios en
base a los roles y perfiles que cada colaborador requiera para el desarrollo de sus
funciones; stos son definidos y aprobados por las reas de negocio y
administrados por la Gerencia de Tecnologa e Innovacin. Es responsabilidad de
sta ltima la creacin, modificacin y eliminacin de usuarios y contraseas en la
infraestructura de procesamiento de Informacin.
Todo colaborador o tercero que requiera tener acceso a los sistemas debe estar
debidamente autorizado y acceder a dichos sistemas haciendo uso como mnimo
de un usuario y contrasea asignado. El colaborador debe ser responsable y
garantizar el buen uso de las credenciales de acceso asignadas.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
28 de 35
19.3 Escritorios y Pantallas Limpias

Todos los colaboradores deben proteger la informacin de carcter restringida o
confidencial cuando sus puestos de trabajo se encuentren desatendidos o en
horas no laborales, esto con el fin de evitar prdidas, daos o accesos no
autorizados a la informacin. La medida incluye documentos impresos, CDs,
dispositivos de almacenamiento USB y medios removibles. As tambin la
informacin que se enva a las impresoras centralizadas, deber recuperarse de
manera inmediata.
Los colaboradores son responsables de bloquear la sesin de trabajo en el
momento en que se retiren, sta podr desbloquearse slo con la contrasea del
usuario y cuando finalicen las actividades; se deben cerrar todas las aplicaciones y
dejar los equipos apagados.
nicamente est autorizado el uso de papel tapiz y el protector de pantalla
institucional en los equipos informticos; este se activar automticamente
despus de cinco minutos de inactividad y se podr desbloquear nicamente con
la contrasea del usuario.
19.4 Segregacin de Redes
[ISO/IEC 27001:2005 A.11.4.5]
Se debe separar en segmento de red fsico y lgico e independiente de los
segmentos de red de usuarios, conexiones de redes con terceros y del servicio de
acceso a Internet, la plataforma tecnolgica que soporta los sistemas de
informacin. La divisin de estos segmentos debe realizarse por medio de
dispositivos perimetrales e internos de enrutamiento y de seguridad si as se
requiere.
La Gerencia de Tecnologa e Innovacin es la responsable de establecer el
permetro de seguridad necesario para proteger los segmentos, de acuerdo con el
nivel de criticidad del flujo de la informacin transmitida.
Como medio de autenticacin de conexiones, se debe establecer mecanismos de
identificacin automtica de equipos en la red, lo cual deber realizarse desde
segmentos de red especficos hacia las plataformas donde operan los sistemas de
informacin.
Los administradores de recursos tecnolgicos son responsables de garantizar que
los puertos fsicos y lgicos de diagnstico y configuracin de plataformas que
soportan los sistemas de informacin, estn siempre restringidos y monitoreados
para as prevenir accesos no autorizados.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
29 de 35
19.5 Computacin Mvil

[ISO/IEC 27001:2005 A.11.7.1]
Los equipos porttiles podrn ser utilizados fuera de las instalaciones de la
institucin slo en los casos que los usuarios hayan sido autorizados por la
Gerencia de Tecnologa e Innovacin, previa solicitud de la dependencia
respectiva y stos debern protegerse mediante el uso de controles tecnolgicos,
tales como:
a) Antivirus.
b) Cifrado de datos.
c) Restriccin en la ejecucin de aplicaciones.
d) Entre otros.
La sincronizacin de dispositivos mviles con cualquier sistema de informacin de
FUSALMO, ser autorizado por la Gerencia de Tecnologa e Innovacin y la
dependencia respectiva.
19.6 Teletrabajo
[ISO/IEC 27001:2005 A.11.7.2]
El acceso a la informacin desde redes externas, podr realizarse remotamente
mediante autenticacin, uso de conexiones seguras y asegurando el cumplimiento
de requisitos de seguridad de los equipos desde los que se accede, con previa
autorizacin de la Gerencia de Tecnologa e Innovacin.
20.
ADQUISICIN,
DESARROLLO
INFRAESTRUCTURA TECNOLGICA
Ref.: ISO/IEC 27001:2005 A.12
MANTENIMIENTO
DE
20.1 Identificacin de Requerimientos de Seguridad

[ISO/IEC 27001:2005 A.12.1.1]
Toda incorporacin de nuevos dispositivos de hardware o software, ya sea de
desarrollo interno o externo y cambios y/o actualizaciones a los sistemas; deben
contar con la identificacin, anlisis, documentacin y aprobacin de los
requerimientos de seguridad de la informacin, bajo la responsabilidad de la
Gerencia de Tecnologa e Innovacin y las dependencias propietarias del sistema.
Los requerimientos de seguridad de la informacin u otras obligaciones, deben
quedar establecidos en los acuerdos contractuales que se realicen entre la
Institucin y cualquier proveedor de productos y/o servicios asociados a la
infraestructura de procesamiento de informacin. Por tanto, ser responsabilidad
de la Gerencia de Tecnologa e Innovacin, garantizar la definicin y cumplimiento
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
30 de 35
de los requerimientos de seguridad y con la Direccin Ejecutiva deben establecer

tales aspectos en las obligaciones contractuales especficas.
20.2 Controles Criptogrficos
[ISO/IEC 27001:2005 A.12.3.1]
Se establece el uso de protocolos y controles criptogrficos para el uso en
aplicativos, transferencia de informacin, enlaces de comunicaciones, proteccin
de medios y acceso remoto; con el fin de proteger la confidencialidad, integridad y
disponibilidad de la informacin. Adems, no se permite el uso de herramientas o
mecanismos de encriptacin de informacin diferentes a los autorizados.
20.3 Seguridad de los Sistemas
[ISO/IEC 27001:2005 A.12.4]
No se permite la instalacin de herramientas de desarrollo ni programas fuente en
los sistemas de produccin, por lo que las nuevas aplicaciones, desarrollos, y/o
sistemas operativos o modificaciones a stos, que dan soporte a los sistemas de
informacin, debern ser implementados en el ambiente de produccin despus
de un protocolo de pruebas que involucre aspectos funcionales, de seguridad, de
compatibilidad con otros sistemas de informacin y facilidad de uso. Todo ello con
el fin de minimizar el riesgo de corrupcin de los sistemas de informacin que se
encuentran en produccin.
Los administradores de las plataformas de produccin son los responsables de
coordinar y/o ejecutar las actualizaciones programadas, as como de controlar el
acceso y uso de los programas fuente y/o de las aplicaciones que operan en ellas.
Los proveedores de desarrollo de software no deben tener acceso directo a los
sistemas de informacin en el momento de hacer la transicin a produccin;
siendo esta actividad, responsabilidad del administrador de la plataforma que
corresponde.
No se permitir copiar informacin confidencial desde el ambiente de produccin
al ambiente de prueba y de ser as, debe garantizarse que los datos reales son
mezclados aleatoriamente sin que ello afecte la estructura funcional de la solucin.
En los sistemas de produccin no se permite el uso de versiones de software no
soportados por el fabricante y el uso de versiones de prueba no liberadas al
mercado, stas sern autorizadas por la Gerencia de Tecnologa e Innovacin,
quienes mantendrn actualizado el inventario de software autorizado.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
31 de 35
20.4 Gestin de Vulnerabilidades Tcnicas

[ISO/IEC 27001:2005 A.12.6]
La Gerencia de Tecnologa e Innovacin es responsable de identificar las
vulnerabilidades tcnicas de las plataformas tecnolgicas, de comunicaciones y
seguridad que soporten los sistemas de informacin crticos. A su vez, el personal
que administra esta plataforma tecnolgica, es responsable de verificar
peridicamente la informacin publicada por parte de los fabricantes y foros de
seguridad en relacin a nuevas vulnerabilidades identificadas que puedan afectar
los sistemas de informacin.
Deben realizarse, por lo menos una vez al ao, pruebas de vulnerabilidades para
las plataformas crticas, las cuales deben ser desarrolladas por un ente
independiente al rea objeto de pruebas, con el fin de garantizar la objetividad del
desarrollo de las mismas.
Las medidas correctivas que requieran ser aplicadas en las plataformas
tecnolgicas, como resultado de la identificacin de vulnerabilidades tcnicas,
sern responsabilidad del personal que administre la infraestructura tecnolgica,
de comunicaciones y seguridad.
La Gerencia de Tecnologa e Innovacin ser responsable del seguimiento y
verificacin de la identificacin de las causas que generaron las vulnerabilidades y
las acciones de correccin pertinentes.
21. GESTIN DE INCIDENTES DE SEGURIDAD
Ref.: ISO/IEC 27001:2005 A.13
21.1 Comunicacin de Incidentes y Eventos de Seguridad de la Informacin
[ISO/IEC 27001:2005 A.13.1]
Un evento de seguridad es la ocurrencia de una situacin que indica una posible
violacin a las polticas de seguridad de la informacin o fallas en los controles,
que no genere un impacto en el desarrollo de las operaciones de la entidad y que
puede ser controlado rpidamente. Por otro lado, un incidente de seguridad de la
informacin, conlleva a la ocurrencia de un acto intencional o no intencional que
tiene una alta probabilidad de afectar el buen funcionamiento de los sistemas de
informacin, o en todo caso, que a causa de este acto se vea afectada la
operacin y amenaza la seguridad de la informacin.
Por tanto, los colaboradores y/o terceros deben reportar, realizando lo indicado en
el procedimiento de reporte y seguimiento de incidentes de seguridad, cualquier
situacin que se pueda considerar como un evento de seguridad y que
comprometa la preservacin de la confidencialidad, disponibilidad y/o integridad de
la informacin; ser responsabilidad del Comit de Seguridad de la Informacin,
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
32 de 35
determinar si la situacin reportada corresponde a un evento o a un incidente de

seguridad y en base a ello ejecutar las acciones necesarias segn el caso.
La Direccin Ejecutiva o a quien ste delegue, son los nicos autorizados para
reportar incidentes de seguridad ante las autoridades, y representan el nico canal
de comunicacin autorizado para hacer pronunciamientos oficiales ante entidades
externas. Por tanto, si alguien no autorizado lleva a cabo tareas relacionadas con
esta actividad, ser interpretado como incumplimiento de las polticas
establecidas.
21.2 Manejo de Incidentes de Seguridad
[ISO/IEC 27001:2005 A.13.2]
El Comit de Seguridad de la Informacin o a quien designe, es la nica figura
autorizada, para evaluar las debilidades o incidentes de seguridad reportados; por
tanto, debe asignar un responsable o grupo de personas responsables de realizar
la investigacin y seguimiento a los eventos de seguridad reportados, el cual
recibir el nombre de Grupo de Atencin de Incidentes, quienes debern informar
al Comit de Seguridad tales resultados, pudiendo requerir en el proceso, el apoyo
de otras reas de la institucin o de entidades externas.
El Comit de Seguridad de la Informacin deber mantener registros de las
anomalas o debilidades que le sean reportadas y que amenacen la seguridad de
la informacin; adems, deben asegurar el registro de los incidentes tomando en
cuenta las causas, impacto, frecuencia y forma de solucin, con el propsito de
mantener estadsticas anuales de comportamiento de respuesta ante incidentes,
generar aprendizajes de lo ocurrido e implementar mejoras en las acciones de
control y polticas segn se requiera.
Es responsabilidad de todos los involucrados, preservar la confidencialidad de la
informacin relacionada con el manejo, investigacin y seguimiento de los
incidentes de seguridad de la informacin.
La Institucin establecer los mecanismos de control para recopilar y preservar la
evidencia de acciones que vayan en contra de la informacin crtica y que deban
ser objeto de acciones disciplinarias; por otro lado, las actividades que generen
sospecha de mal uso de la informacin, debern registrarse como evidencia en la
aplicacin de sanciones acordes al impacto causado.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
33 de 35
22. ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO

Ref.: ISO/IEC 27001:2005 A.14
22.1 Seguridad de la Informacin en la Continuidad del Negocio
[ISO/IEC 27001:2005 A.14.1.1]
Ante la ocurrencia de eventos no previstos o desastres naturales, se debe contar
con un plan documentado, aprobado y actualizado, que garantice la continuidad
de las operaciones y de los procesos crticos; se debe establecer un plan de
recuperacin tecnolgica que defina las directrices y lineamientos mnimos
requeridos para recuperar y restablecer las operaciones de los servicios de
tecnologa, as como los requerimientos de seguridad, funciones y
responsabilidades relacionados con el plan.
22.2 Anlisis de Riesgo e Impacto del Negocio
[ISO/IEC 27001:2005 A.14.1.2]
La Institucin debe realizar un anlisis de riesgos y su impacto en el negocio, en
base a las buenas prcticas, con el fin de definir un plan de continuidad del
negocio y recuperacin de desastres; stas actividades debern ser ejecutadas al
menos una vez al ao o ante cambios importantes en la misma.
22.3. Declaracin de Desastre y Activacin de los Planes de Continuidad del
Negocio
[ISO/IEC 27001:2005 A.14.1.3]
La declaracin de desastre ante los lderes de los equipos de recuperacin,
implica el inicio de las actividades descritas en el plan de continuidad del negocio
para cada uno de stos.
Por lo que ser necesario definir quines sern los responsables de declarar un
desastre, as como los voceros autorizados para definir el inicio de una
contingencia dentro de la Institucin y una vez dada esta autorizacin de inicio,
comenzarn a ejecutarse cada una de las actividades definidas en el plan de
continuidad del negocio y de recuperacin de desastres.
22.4 Entrenamiento y Capacitacin
[ISO/IEC 27001:2005 A.14.1.4]
Los colaboradores y terceros relacionados con la Institucin, deben ser
entrenados en sus roles y responsabilidades asignados en el plan de continuidad
del negocio.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
34 de 35
22.5 Pruebas y Mantenimiento del Plan de Continuidad

[ISO/IEC 27001:2005 A.14.1.5]
Debern realizarse pruebas al plan de continuidad del negocio, por lo que se
definir un rea responsable de coordinar peridicamente estas pruebas y
mantener el plan actualizado, de acuerdo con las necesidades y requerimientos de
la Fundacin.
23. CUMPLIMIENTO DE LOS REQUERIMIENTOS

Ref.: ISO/IEC 27001:2005 A.15
23.1 Cumplimiento de Requerimientos
[ISO/IEC 27001:2005 A.15.1.1]
La Institucin deber cumplir con la legislacin aplicable de las leyes
salvadoreas, las regulaciones emitidas por organizaciones de control
gubernamentales o no gubernamentales que apliquen, adems de las
obligaciones contractuales con terceros; por ello, debe documentarse estos
requerimientos para cada sistema de informacin.
La Asesora Jurdica es la responsable de orientar a la Fundacin acerca de los
requisitos normativos y regulatorios emitidos por organizaciones de control, as
como de las obligaciones con terceros y colaboradores, enmarcados en del
cumplimiento de la legislacin salvadorea vigente.
23.2 Derechos de Propiedad Intelectual
[ISO/IEC 27001:2005 A.15.1.2]
Se dar cumplimiento a la reglamentacin de propiedad intelectual vigente en el
pas y ejecutar revisiones peridicas para garantizar que se estn respetando los
derechos de propiedad intelectual, los cuales incluyen licencias de cdigo fuente,
documentos que son parte del conocimiento del negocio, propuestas comerciales,
patentes, informacin publicitaria y comercial relacionada con la imagen
institucional.
Se define a la Gerencia de Tecnologa e Innovacin, como responsable de
mantener y administrar el inventario y control de las licencias de software,
hardware y aplicaciones utilizadas en la Institucin, adems de los medios y
contratos que se relacionan con la actividad comercial de compra de software y
hardware; adems, est prohibido el uso de software ilegal o no licenciado, por lo
que los colaboradores sern sancionados por la instalacin y utilizacin de
software no autorizado en sus estaciones de trabajo y en las plataformas
tecnolgicas que soportan los sistemas de informacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
35 de 35
Los acuerdos contractuales entre la Institucin y cualquier proveedor de desarrollo

de software, deben especificar claramente los compromisos de preservacin de
los derechos de propiedad intelectual y todos los programas de software utilizados
en el desarrollo de las operaciones del negocio, deben incluir los avisos de
informacin de derechos de autor correspondientes y mostrarse cuando el usuario
inicia la aplicacin.
23.3 Proteccin de Registros
[ISO/IEC 27001:2005 A.15.1.3]
Dado que la Institucin se obliga a proteger todos los registros que muestren
evidencia del cumplimiento de los requerimientos normativos, legales o
regulatorios de prdida, destruccin o falsificacin; stos estarn identificados en
un listado maestro de registros y sern protegidos en base al nivel de clasificacin,
cumpliendo con la legislacin salvadorea vigente, se determina que la
informacin personal de los colaboradores y/o contratistas es de carcter
confidencial, por lo que tambin se implementarn los controles para su proteccin
y no divulgacin a terceras partes, caso contrario si se cuenta con la autorizacin
formal del colaborador y/o contratista o en los casos en que las regulaciones lo
permitan.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
1 DE 5
PROCEDIMIENTO DE RESPALDO DE LA INFORMACIN (Back Up)
Preparado por
Nombre
Firma
Puesto
Fecha
Revisado por
Propietario
Nombre
Director (si aplica)
Firma
Puesto
Fecha
Nombre
Firma
Puesto
Fecha
Aprobado por
Nombre
Firma
Puesto
Fecha
Copia controlada
Titular
Copia nmero
El propietario del procedimiento es el responsable de la revisin anual,

actualizaciones, monitoreo, control y la aprobacin de este procedimiento.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
2 DE 5
PROCEDIMIENTO DE RESPALDO DE LA INFORMACIN (Back Up)
1. OBJETIVO
Establecer los lineamientos y procedimientos para realizar el respaldo de
informacin de los servidores.
2. ALCANCE
2.1 Inclusiones
Este documento describe los procedimientos de respaldo y recuperacin para los
sistemas, incluyendo aplicaciones, bases de datos, sistemas operativos, archivos
de usuarios en los servidores y configuracin de dispositivos de FUSALMO, los
cuales son administrados por la Coordinacin de Servicios Tecnolgicos de la
2.2 Exclusiones
No se incluye todos aquellos procesos de respaldo y recuperacin llevados a cabo
por terceros.
No se incluyen los procesos de respaldo y recuperacin de las computadoras
personales de los usuarios finales de la Fundacin.
3. DEFINICIONES
3.1 Respaldo (Backup)
Accin de realizar una copia de datos de un servidor a un medio de
almacenamiento (Disco ptico) como prevencin en caso de prdida total o dao
parcial de la fuente original de estos datos.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
3 DE 5
3.2 Recuperacin
Consiste en la accin de recuperar los datos que han sido previamente copiados a
un medio de almacenamiento.
4. RESPONSABILIDAD
Es responsabilidad del Coordinador de Recursos Tecnolgicos, establecer los
mecanismos necesarios y ejecutarlos, para la realizacin de los respaldos en los
medios establecidos.
5. DESCRIPCIN DEL PROCEDIMIENTO DE RESPALDO

No.
Responsable
Tecnolgicos
Solicitante
Gerencia de Tecnologa e
Innovacin
Actividad
El respaldo de informacin clasificada se
realiza
semanalmente
en
forma
programada cada viernes.
El Coordinador de recursos tecnolgicos
programa y verifica requerimientos para
realizacin de respaldo, entre ellos bitcora
y medios de almacenamiento.
Continuar con el paso 5.
Si el respaldo es solicitado por una de las
partes interesadas, continuar con el paso 2.
El respaldo de informacin se realiza en
base a solicitud o de forma programada.
Este puede ser solicitado por las partes
interesadas: Gerencia de finanzas y
recaudacin de fondos, Gerencia de
tecnologa
e
innovacin,
Direccin
Ejecutiva.
El interesado mediante correo electrnico a
la Gerencia de Tecnologa e innovacin
solicita la realizacin del respaldo.
Autoriza la solicitud mediante notificacin
va correo electrnico a la Coordinacin de
recursos tecnolgicos.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
No.
Responsable
Tecnolgicos
Tecnolgicos
Tecnolgicos
Tecnolgicos
Innovacin
Gerencia de Finanzas y
Recaudacin de Fondos
FUSAL-MSI-001
REVISION:
00
PGINA:
4 DE 5
Actividad
Recibe la solicitud, programa y verifica
requerimientos
para
realizacin
de
respaldo, entre ellos bitcora y medios de
almacenamiento.
Ejecuta el respaldo de informacin de
forma manual, almacenando las carpetas
de informacin correspondientes en el
medio de almacenamiento. Codifica la
copia de respaldo indicando fecha y hora
de su realizacin.
Registra en bitcora fecha y hora de
realizacin del respaldo, as como las
actividades realizadas, componentes del
respaldo
y
posibles
hallazgos
o
eventualidades en el proceso.
Notifica va correo electrnico a la Gerencia
de tecnologa e innovacin acerca de la
realizacin del respaldo, indicando los
componentes del respaldo y entrega la
copia fsica de respaldo.
Entrega mediante memorando a la
Gerencia de Finanzas y recaudacin de
fondos, la copia fsica de respaldo,
indicando fecha y hora de realizacin, as
como los componentes del respaldo.
Recibe la copia de respalda y la resguarda
contemplando las medidas de seguridad
correspondientes.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
5 DE 5
6. DIAGRAMA DEL PROCEDIMIENTO DE RESPALDO
Programa
y
verifica
requerimientos
para
realizacin de respaldo,
entre ellos bitcora y medios
de almacenamiento.
Coordinacin de
Recursos Tecnolgicos
Solicitante mediante correo

electrnico a la Gerencia de
Tecnologa
e
innovacin
solicita la realizacin del
respaldo.
Gerencia TI
Ejecuta el respaldo de
informacin
de
forma
manual, codifica la copia de
respaldo indicando fecha y
hora de su realizacin.
Registra en bitcora fecha y

hora de realizacin del
respaldo, as como las
actividades
realizadas,
componentes del respaldo y
posibles
hallazgos
o
eventualidades
en
el
proceso.
Recibe la solicitud, programa

y verifica requerimientos para
realizacin de respaldo, entre
ellos bitcora y medios de
almacenamiento.
Notifica va correo electrnico

a la Gerencia de tecnologa e
innovacin acerca de la
realizacin
del
respaldo,
indicando los componentes
del respaldo y entrega la
copia fsica de respaldo.
Autoriza la solicitud mediante

notificacin
va
correo
electrnico a la Coordinacin
de recursos tecnolgicos.
Entrega mediante memorando

la copia fsica de respaldo,
indicando fecha y hora de
realizacin, as como los
componentes del respaldo.
La Gerencia de Finanzas y
recaudacin de fondos recibe
la copia de respaldo y la
resguarda contemplando las
medidas de seguridad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
1 DE 9
PROCEDIMIENTO DE REPORTE Y SEGUIMIENTO DE INCIDENTES DE

SEGURIDAD.
Preparado por
Nombre
Firma
Puesto
Fecha
Revisado por
Propietario
Nombre
Firma
Puesto
Fecha
Nombre
Firma
Puesto
Fecha
Aprobado por
Nombre
Firma
Puesto
Fecha
Copia controlada
Titular
Copia nmero

REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
2 DE 9
PROCEDIMIENTO DE REPORTE Y SEGUIMIENTO DE INCIDENTES DE

SEGURIDAD.
1. OBJETIVO
Definir las acciones por medio de las cuales los problemas e incidentes,
relacionados con tecnologa de informacin, son reportados, registrados,
investigados, diagnosticados, valorados y resueltos. El procedimiento asegura que
los problemas son asignados a un responsable, se les da seguimiento y son
monitoreados durante todo su ciclo de vida.
2. ALCANCE
2.1 Inclusiones
Este procedimiento aplica a todos los problemas e incidentes en las aplicaciones,
bases de datos, sistemas operativos, centros de datos y componentes de red en la
infraestructura de FUSALMO, dichos incidentes o problemas son reportados a LA
Gerencia de Tecnologa e Innovacin y debidamente registrados para su
seguimiento.
2.2. Exclusiones
No se han identificado exclusiones para este procedimiento.
3. DEFINICIONES
3.1 Software
Aplicaciones, programas o sistemas computacionales.
3.2. Hardware
Componentes fsicos de tecnologa, en este caso tecnologa de la informacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
3 DE 9
4. RESPONSABILIDAD
Es responsabilidad del Coordinador de Recursos Tecnolgicos, establecer los
mecanismos necesarios y ejecutarlos, para dar soporte a las aplicaciones o
servicios de TI y de resolver los problemas o incidentes que le hayan sido
asignados.
Es responsabilidad de la Gerencia de Tecnologa e Innovacin dar seguimiento y
monitoreo al reporte de incidentes de seguridad, su investigacin, resolucin,
valoracin y documentacin.
5. DESCRIPCIN DEL PROCEDIMIENTO DE REPORTE Y SEGUIMIENTO DE

INCIDENTES DE SEGURIDAD.
No.
Responsable
Actividad
Usuario/ Personal de la
Innovacin
Usuario/ Personal de la
Innovacin
Innovacin
Tecnolgicos
Tecnolgicos
Tecnolgicos
Identifica o percibe fallas o un incidente de

seguridad en los servicios de informacin,
aplicaciones, registros, entre otros.
Reporta el incidente mediante el formato
7.1 de este documento y lo presenta en
forma impresa o por correo electrnico a la
Recibe el reporte de incidente y notifica va
correo electrnico a la Coordinacin de
Recursos Tecnolgicos.
Recibe el reporte de incidente y apertura
expediente de investigacin de incidentes
de seguridad segn formato 7.2 de este
documento y procede a la investigacin en
sitio.
Establece permetro de seguridad fsico y
salvaguarda de evidencias e inicia la
investigacin del incidente. Determina si el
incidente corresponde a incidente de
seguridad u otro tipo.
Si corresponde a incidente de seguridad
procede con una valoracin del impacto:
determina los sistemas y procesos
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
No.
Responsable
Tecnolgicos
Tecnolgicos
Tecnolgicos
11
12
REVISION:
00
PGINA:
4 DE 9
Actividad
10
FUSAL-MSI-001
Tecnolgicos/ Gerencia de
Tecnologa e Innovacin
Tecnolgicos/ Gerencia de
Innovacin
afectados, as como sus responsables.

Recopila toda la informacin y evidencias
disponibles y verifica los sucesos que
conducen al incidente.
Realiza entrevistas a usuarios y dems
personal que pueda brindar informacin.
Elabora informe en el que se establecen
todos los hechos pertinentes y lo presenta
a la Gerencia de Tecnologa e Innovacin
para su anlisis.
Elabora conclusiones basadas en la
informacin y propone recomendaciones
para prevenir su repeticin.
Completa informe de incidentes en su
totalidad y realiza cierre.
Reporta el incidente a la Direccin
Ejecutiva de FUSALMO para conocimiento
y deduccin de responsabilidades o medida
disciplinaria cuando aplique.
6. DIAGRAMA DEL PROCEDIMIENTO DE REPORTE Y SEGUIMIENTO DE

INCIDENTES DE SEGURIDAD.
Usuario / Personal de TI
Innovacin
recibe
el
reporte de incidente y
notifica
va
correo
electrnico
a
la
Tecnolgicos.
Reporta el incidente
mediante el formato 7.1
y lo presenta a la
Gerencia
de
Tecnologa
e
Innovacin.
Identifica o percibe
fallas o un incidente de
seguridad
en
los
servicios
de
informacin,
aplicaciones, registros,
entre otros.
Realiza cierre de expediente y
finaliza el procedimiento
Coordinacin de Recursos Tecnolgicos

Recibe el reporte de
incidente
y
apertura
expediente
de
investigacin de incidentes
de
seguridad
segn
formato 7.2 y procede a la
investigacin en sitio.
Establece
permetro
de
seguridad
fsico
y
salvaguarda de evidencias e
inicia la investigacin del
incidente. Determina si el
incidente
corresponde
a
incidente de seguridad u otro
tipo.
No
Incidente de
seguridad
S
1
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
5 DE 9
Coordinacin de Recursos Tecnolgicos
Realiza entrevistas a
usuarios
y
dems
personal que pueda
brindar informacin.
Recopila
toda
la
informacin
y
evidencias disponibles
y verifica los sucesos
que
conducen
al
incidente.
Elabora informe en el
que se establecen
todos
los
hechos
pertinentes
y
lo
presenta a la Gerencia
de
Tecnologa
e
Innovacin para su
anlisis.
Junto a la Gerencia de
Tecnologa e
Innovacin elabora
conclusiones basadas
en la informacin y
propone
recomendaciones para
prevenir su repeticin.
Procede
con
una
valoracin del impacto y
determina los sistemas y
procesos afectados, as
como sus responsables.
Junto a la Gerencia de
completa
informe
de
incidentes en su totalidad
y realiza cierre.
Innovacin reporta el
incidente a la Direccin
Ejecutiva de FUSALMO
para
conocimiento
y
deduccin
de
responsabilidades
o
medida
disciplinaria
cuando aplique.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
6 DE 9
7. FORMATOS RELACIONADOS
7.1 Reporte de incidente de seguridad
REPORTE DE INCIDENTE DE SEGURIDAD

Fecha de Notificacin:
Hora de Notificacin:
DATOS DE LA PERSONA QUE REPORTA EL INCIDENTE

Nombre Completo:
Puesto:
rea/Dependencia:
Sede:
Tel:
Correo electrnico:
INFORMACIN DEL INCIDENTE
Fecha en que se observ el incidente:
Descripcin del incidente:
reas o sistemas afectados:
F. ______________________________
Usuario
Hora en que se observ el incidente:
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
7 DE 9
7.2 Expediente de investigacin y reporte de incidente de seguridad

EXPEDIENTE DE INVESTIGACIN DE
INCIDENTE DE SEGURIDAD
CASO No.___________________________
Fecha de Apertura de expediente:
Fecha de reporte del incidente:
DATOS DE LA PERSONA QUE REPORTO EL INCIDENTE

Nombre Completo:
Puesto:
rea/Dependencia:
Sede:
Tel:
Correo electrnico:
INFORMACIN DEL RECURSO AFECTADO
Sistema, computadora o red afectada:
Localizacin fsica:
Sistema Operativo u otras caractersticas:
Seleccionar las opciones que apliquen en el anlisis e investigacin:

Existe copia de respaldo
de los datos o software
afectado?
No
El recurso afectado
tiene
conexin
a
internet?
No
EVIDENCIAS
Inspeccin Preliminar:
Incidente
de
Seguridad de
la informacin
No
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
1. Evidencias del caso

Detalle:
2. Entrevistas
Nombre de la persona entrevistada:
Resumen de Entrevista:
FUSAL-MSI-001
REVISION:
00
PGINA:
8 DE 9
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
9 DE 9
DIAGNSTICO
Uso indebido de informacin crtica.
Divulgacin
no
autorizada
informacin personal.
Uso prohibido de un recurso informtico

de
Eliminacin insegura de informacin.

Modificacin o eliminacin no autorizada
de datos.
Intrusin fsica.
Destruccin
informacin.
no
autorizada
de
Anomala o vulnerabilidad tcnica de

software.
Robo o prdida de informacin.
Fraude o phishing.
Interrupcin prolongada en un sistema

o servicio de red.
Modificacin no autorizada del sitio o

pgina web.
Modificacin, instalacin o eliminacin

no autorizada de software.
Amenaza o acoso por medio electrnico.
Acceso o intento de acceso no

autorizado a un sistema informtico.
Ataque o infeccin por cdigo malicioso

(virus, gusanos, troyanos, etc.)
Robo o prdida
informtico.
Otro:
de
un
recurso
RESULTADOS
RECOMENTACIONES
F. ______________________________
Responsable
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
1 DE 7
PROCEDIMIENTO DE AUDITORA DE LOS SISTEMAS DE INFORMACIN
Preparado por
Nombre
Firma
Puesto
Fecha
Revisado por
Propietario
Nombre
Firma
Puesto
Fecha
Nombre
Firma
Puesto
Fecha
Aprobado por
Nombre
Firma
Puesto
Fecha
Copia controlada
Titular
Copia nmero

REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
2 DE 7
PROCEDIMIENTO DE AUDITORA DE LOS SISTEMAS DE INFORMACIN
1. OBJETIVO
Evaluar y controlar las actividades y desempeo de los sistemas de informacin a
fin de constatar si sus actividades son correctas y de acuerdo a los procedimientos
establecidos en la Fundacin.
2. ALCANCE
2.1 Inclusiones
Este procedimiento aplica para todos los sistemas que operan en FUSALMO,
entre ellos correo Institucional, pgina web, Sistema Administrativo Financiero
(SAF) y Sistema de RRHH.
2.2. Exclusiones
No se define exclusiones a este procedimiento.
3. DEFINICIONES
3.1 Plan de auditora
Plan de trabajo anual de actividades relacionado con el proceso de auditora, el
cual es planificado, ejecutado y en seguimiento por la Gerencia de Tecnologa e
innovacin para su desarrollo y cumplimiento. Este plan no es el programa de
auditora que ejecuta el equipo auditor.
3.2 Programa de auditora

Planificacin del trabajo en el proceso de auditora, el cual es organizado,
ejecutado y en seguimiento por el Equipo Auditor; incluye las actividades como
revisiones documentales, entrevistas, reunin inicial, presentacin de informe,
entre otros elementos.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
3 DE 7
3.3 Informe de auditora

Al finalizar la auditoria por parte del Equipo Auditor , se deber generar un informe
dirigido al responsable del rea afectada solicitando las acciones correctivas
correspondientes ( si es que hubiera necesidad) y darle posterior seguimiento y
cierre.
El informe contara adems con una fecha especfica para el cierre de los
hallazgos acorde a la siguiente clasificacin:
Clasificacin
Observacin
No conformidad
Descripcin
Identificacin de una condicin
potencial que puede ser la causa de
incumplimiento de algn estndar o
procedimiento, despus de tres
consecutivas
observaciones
del
mismo tema se convertir en una no
conformidad.
Tiempo de Respuesta
5 das hbiles despus

de
presentar
el
informe.
7 das hbiles despus

de
presentar
el
El no cumplimiento a un estndar, informe; en caso la no
procedimiento, manual establecido el conformidad
sea
cual es documentado por la evidencia determinando
como
entrada por el auditor.
violacin se tendr que
dar
respuesta
de
inmediato.
La respuesta al reporte enviado por el auditor debe contener lo siguiente:
Causa Raz: es la base de la accin a largo plazo para eliminar el problema

y prevenir su repeticin.
Accin Intermedia: accin inmediata para solventar la no conformidad.
Accin a futuro: accin a tomar para prevenir la recurrencia.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
4 DE 7
Las repuestas o plan de mejora (si aplica) son enviados por la Gerencia de
Tecnologa e Innovacin, detallando las acciones que dan respuesta y solucin a
los hallazgos presentados en el informe de auditora.
En el caso que el auditado necesita pedir extensin para dar respuesta a la no
conformidad, estas sern otorgadas por el auditor si estn justificadas; sin
embargo el tiempo de respuesta no debe superar los 30 das calendario.
Extensiones no sern aprobadas si:
Si la evidencia no es enviada
Si la prrroga se solicita despus de la fecha de vencimiento de la no

conformidad.
3.4 Registros del Sistema de Auditorias:

Todos los registros pertenecientes a la implementacin del Sistema de Auditorias
de la Gerencia de Tecnologa e Innovacin, se encuentran archivados
en la
Unidad de Auditora Interna.

Cada registro debe incluir las evidencias de las no conformidades encontradas, as
como la aceptacin de estos por parte del responsable.
3.5 Cierre de Auditoria

El cierre de la auditoria, se dar hasta que el auditor este satisfecho con las
respuestas y evidencias del cumplimiento del plan de accin de las no
conformidades presentadas por el auditado.
4. RESPONSABILIDAD
Es responsabilidad del Gerente de Tecnologa e Innovacin velar por el
seguimiento del Plan de auditora de la Unidad, a fin de que esta se realice en el
perodo programado y cumpla con los requerimientos del mismo. As tambin es
responsable de garantizar las condiciones y disponibilidad de recursos e
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
5 DE 7
informacin para el Equipo Auditor y la formulacin y seguimiento del plan de

mejora relacionado con el informe de auditora.
Es responsabilidad de la Direccin Ejecutiva, dirigir y velar por el cumplimiento del
proceso de auditora interna, su divulgacin e involucramiento de los
colaboradores de la Fundacin.
5. DESCRIPCIN DEL PROCEDIMIENTO DE AUDITORA DE LOS SISTEMAS

DE INFORMACIN.
No.
Responsable
Innovacin
Innovacin
Direccin Ejecutiva
Direccin Ejecutiva
Innovacin
Direccin Ejecutiva
Actividad
Planifica el plan de auditora interna de
acuerdo a las necesidades de la
Fundacin.
Presenta a Direccin Ejecutiva el plan de
auditoria y los recursos requeridos.
Convoca a reunin de trabajo para
conformacin
de
equipo
auditor,
considerando representacin de las reas
crticas de la fundacin; del rea de TI
deber excluirse del equipo auditor.
Notifica a todas las reas de la Fundacin
el inicio del proceso, el cronograma de
desarrollo y el comit auditor. Enva
notificacin al rea de Tecnologa e
innovacin.
Organiza las actividades en el rea,
coordina
con
equipo
de
trabajo,
disponibilidad de documentos y dems
evidencias.
Llegada la fecha planificada, la Direccin
Ejecutiva convoca a la Gerencia de
Tecnologa e Innovacin a reunin de
presentacin de los miembros del equipo
auditor. Se realiza: Revisin del alcance,
los objetivos, cronograma de auditora,
metodologa, procedimientos a utilizar y
tabla de tiempos de la auditora.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
No.
Responsable
Equipo Auditor
Equipo Auditor
Equipo Auditor
10
Equipo Auditor
11
Innovacin
12
Innovacin
13
Direccin Ejecutiva
14
Innovacin
FUSAL-MSI-001
REVISION:
00
PGINA:
6 DE 7
Actividad
Coordina las actividades segn el plan de
auditora.
Ejecuta la auditora realizando verificacin
documental, demostracin y entrevista
respecto a los procedimientos de
seguridad, controles, documentacin y
prcticas del rea.
Define acciones de mejora, hallazgo,
periodos de respuesta, proceso de
seguimiento, cierre de casos y referencias
normativas
relacionadas
para
la
elaboracin del informe de auditora.
Presenta informe de auditora a la Direccin
Ejecutiva, Gerencia de Tecnologa e
Innovacin y dems jefaturas consideradas.
Emite por escrito respuesta al informe de
auditora en relacin a los hallazgos
sealados, para lo cual cuenta con tres
das hbiles para su preparacin y
evidencias.
Presenta a la Direccin Ejecutiva plan de
mejora a los hallazgos sealados.
Autoriza el plan de mejora para su
ejecucin.
Realiza seguimiento a las acciones de
mejora.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
7 DE 7
6. DIAGRAMA DEL PROCEDIMIENTO DE AUDITORA DE LOS SISTEMAS DE

INFORMACIN.
Gerencia de Tecnologa
e Innovacin
Planifica el plan de
auditora interna de
acuerdo
a
las
necesidades
de
la
Fundacin.
Direccin Ejecutiva
Presenta a Direccin
Ejecutiva el plan de
auditoria y los recursos
requeridos.
Convoca a reunin de
trabajo
para
conformacin de equipo
auditor.
Organiza
las
actividades en el rea,
coordina con equipo de
trabajo, disponibilidad
de
documentos
y
dems evidencias.
Notifica a todas las

reas de la Fundacin
el inicio del proceso, el
cronograma
de
desarrollo y el comit
auditor.
Emite
por
escrito
respuesta al informe de
auditora en caso de ser
pertinente,
contando
con tres das hbiles
para su preparacin y
evidencias.
Presenta a la Direccin
Ejecutiva
plan
de
mejora a los hallazgos
sealados.
Realiza seguimiento a
las acciones de mejora.
Convoca a la Gerencia
de
Tecnologa
e
Innovacin a reunin de
presentacin de los
miembros del equipo
auditor.
Se
realiza
revisin
de
componentes
del
proceso de auditora.
Autoriza el plan
mejora
para
ejecucin.
de
su
Equipo Auditor
Coordina
las
actividades segn el
plan de auditora.
Ejecuta la auditora
realizando verificacin
documental,
demostracin
y
entrevista respecto a los
procedimientos
de
seguridad,
controles,
documentacin
y
prcticas del rea.
Define acciones de
mejora
y
elabora
informe de auditora.
Presenta informe de
auditora a la Direccin
Ejecutiva, Gerencia de
Tecnologa
e
Innovacin y dems
jefaturas consideradas.

TG Mgsi Fusalmo 25032013

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

TG Mgsi Fusalmo 25032013

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD DE EL SALVADOR

MODELO DE GESTIN DE SEGURIDAD DE LA INFORMACIN PARA LA

TRABAJO DE GRADUACIN PRESENTADO POR:

INGA. ADRIANA VIRGINIA FIGUEROA RIVAS

PARA OPTAR AL GRADO DE:

MAESTRA EN CONSULTORA EMPRESARIAL

SAN SALVADOR, EL SALVADOR, MARZO DE 2013

: INGENIERO MARIO ROBERTO NIETO LOVO

: DOCTORA ANA LETICIA ZAVALETA DE AMAYA

AUTORIDADES DE LA FACULTAD DE CIENCIAS ECONMICAS

: MAESTRO ROGER ARMANDO ARIAS ALVARADO

: MAESTRO LVARO EDGARDO CALERO RODAS

: INGENIERO JOS CIRIACO GUTIRREZ

ADMINISTRADOR ACADMICO : LICENCIADO EDGAR ANTONIO MEDRANO

: MAESTRO CARLOS ARMANDO PINEDA

: MAESTRO DIMAS DE JESS RAMREZ ALEMN

El ms grande de mis agradecimientos al Divino nio Jess y Mara Auxiliadora,

1.1 Fundacin Salvador del Mundo (FUSALMO)

1.1.1 Filosofa Institucional

1.1.2 Estructura organizativa

1.2 Planteamiento del Problema .

1.2.1 Preguntas de investigacin .

1.2.2 Definicin del problema

1.5 Alcance y limitaciones

1.7.1 Definicin del mtodo de recoleccin de informacin .

1.7.2 Fuentes de investigacin

1.8 Variables de anlisis .

CAPTULO II. MARCO TERICO

CAPTULO I. MARCO DE REFERENCIA.

1.7 Metodologa de la investigacin

2.1 Definicin del estndar internacional ISO/IEC 27001:2005 Tecnologa de

2.2 Sistema de Gestin de Seguridad de la Informacin

2.3 Beneficios al implementar un Sistema de Gestin de Seguridad de la

2.4 Etapas para el desarrollo de un Sistema de Gestin de Seguridad de la

CAPTULO III. DIAGNSTICO DE LA INSTITUCIN .

3.1 Contexto y capacidad instalada de FUSALMO

3.1.1 Programas y proyectos

3.2 Descripcin de la metodologa de diagnstico

3.2.1 Entrevista a personal clave y observacin en sitio

3.2.2 Herramienta de valoracin de acuerdo a los controles y requerimientos

3.2.3 Anlisis grfico mediante herramienta de Tela de araa o grfico Radial 41

3.3.1.1 Identificacin de los activos crticos de la Institucin .

3.3.1.2 Identificacin de las amenazas para los activos crticos

3.3.1.3 Identificacin de vulnerabilidades para los activos crticos .

3.3.1.4 Definicin del riesgo

3.3.1 Metodologa OCTAVE

3.3.1.5 Impacto de las vulnerabilidades .

3.3.1.6 Probabilidad del riesgo

3.3.1.7 Valor cualitativo del riesgo

3.4 Anlisis econmico de los incidentes de seguridad

3.5.1 Objetivo del benchmarking .

3.5.2 Metodologa del benchmarking

3.5.3 Casos de estudio Banco Central de Reserva de El Salvador - TACA Airlines

3.5.3.1 Factores clave de xito para el BCR

3.5.3.2 Conclusiones del proceso en el BCR

3.5.3.3 Factores clave de xito para TACA

3.5.3.4 Conclusiones del proceso en TACA

3.5.4 Anlisis comparativo con FUSALMO

3.6 Resumen de resultados obtenidos con las herramientas de diagnstico

3.7 Factores crticos para la Institucin .

3.8 Procedimientos crticos para la Institucin .

CAPTULO IV. PROPUESTA DEL SISTEMA DE GESTIN DE SEGURIDAD

4.1 Plan de implementacin