Seguridad Informatica

Estado de Seguridad Informtica en el sector pblico costarricense
Rectora de Telecomunicaciones
2011
Crditos
Hannia Vega
Viceministra de Telecomunicaciones
Marcos Arroyo, Director de Planeacin

Direccin Responsable
Eldier Moya, Gerencia de Redes

Gerencia Responsable y Coordinacin
Alejandro Berrocal V, Gerencia de Redes

Orlando Vega, Gerencia de Evolucin
Equipo Profesional
Citacin Recomendada
Ministerio de Ambiente, Energa y Telecomunicaciones. (Octubre, 2011).

Estado de Seguridad Informtica en el Sector Pblico Costarricense. Costa Rica:
MINAET
Pgina 2
2011
ndice
Glosario de trminos [1] ........................................................................................... 4

1. Introduccin............................................................................................................... 7
1.1 Objetivos ........................................................................................................ 8
1.1.1 Objetivo General .......................................................................................... 8
1.1.2 Objetivos Especficos................................................................................... 8
2. Marco Terico ............................................................................................................ 9
2.1 Seguridad de la Informacin .............................................................................. 9
2.2 Importancia de seguridad informtica en las instituciones pblicas ............. 9
2.3 Estndares de seguridad informtica .............................................................. 11
2.3.1 Organizaciones de estndares de seguridad ............................................ 11
2.4 Contralora General de la Repblica ................................................................ 12
3. Metodologa ............................................................................................................ 15
3.1 Perfil de las de las instituciones participantes en el diagnstico ................ 17
3.2 Mtodo de consulta y recoleccin de informacin ........................................ 19
4. Seguridad Informtica en el Sector pblico Costarricense .................................. 21
4.1 Eventos informticos ocurridos en las Instituciones Pblicas, en el periodo de
enero del 2010 a enero del 2011 ........................................................................... 21
4.1.1 Detalle de eventos informticos por tipo de institucin pblica ........... 26
4.1.1.5 Eventos informticos en Instituciones Adscritas ................................. 30
4.2 Elementos o herramientas informticas implementadas en las Instituciones
Pblicas .................................................................................................................... 32
4.2.1 Detalle de herramientas informticas por tipo de institucin ............... 39
4.3 Implementacin de medidas sobre gestin de la seguridad y manejo de
contingencias ........................................................................................................... 45
4.3.1 Detalle de gestin de seguridad y contingencia por tipo de institucin 49
4.4 Sistemas de Seguridad Fsica implementados en instituciones pblicas .... 53
4.4.1 Detalle de sistemas de seguridad fsica por tipo de institucin ............. 58
4.5 Presupuesto para Seguridad Informtica ...................................................... 62
4.5.1 Detalle de presupuesto para seguridad informtica por tipo de institucin
.......................................................................................................................................................... 67
4.6 Cuadro resumen de resultados segn la encuesta ........................................ 74
5. Conclusiones y Recomendaciones......................................................................... 76
5.1 Conclusiones ..................................................................................................... 76
5. 2 Recomendaciones ............................................................................................. 78
6. Referencias Bibliogrficas...................................................................................... 79
7. Anexos ...................................................................................................................... 81
7.1 Estndares de seguridad informtica .............................................................. 81
7.2 Instituciones Participantes .............................................................................. 91
Pgina 3
2011
Glosario de trminos [1]
Virus: Programa informtico que se reproduce a s mismo, indeseable y

potencialmente peligroso, que altera el funcionamiento de los ordenadores.
Troyano: Programa informtico cuya ejecucin tiene unos efectos imprevistos y,

generalmente, insospechados para el usuario infectado. No se les puede denominar
virus porque no se replican.
Malware: Programa o parte de un programa que tiene un efecto malicioso en la

seguridad de los sistemas. Este trmino engloba muchas definiciones como virus,
gusanos, troyanos, spyware, etc.
Spyware: Cualquier tipo de software que utiliza la conexin a Internet del usuario
para enviar informacin sobre su actividad, misma que es utilizada por las empresas
publicitarias para enviar propaganda de acuerdo a su actividad en la red.
Hacker: Nombre que se da en el mbito informtico a un usuario con avanzados

conocimientos y que dedica mucho tiempo a trabajar con los ordenadores.
Originalmente se utilizaba el trmino para designar a una persona que escribe
programas informticos, destrozando (hacking) el cdigo digital. Actualmente se
utiliza comnmente la palabra hacker se utiliza generalmente para designar a las
personas que rompen los sistemas de seguridad informticos.
Equipo Terminal: Representa el equipo de acceso del cliente utilizado para solicitar
y terminar servicios de conectividad asociados a la red.
Spam: Correo electrnico no solicitado y enviado repetidamente. Es una forma de

ataque a un usuario o servidor, basada en la saturacin del servidor de correo y de
las conexiones a Internet.
Pgina 4
2011
Firewall: [Pared, muro o barrera de fuego, cortafuegos]. Programa o equipo que

separa a un equipo, una red local (LAN) o una red global (WAN) en dos o ms partes,
con propsitos de seguridad, limitando o supervisando los accesos a sus recursos.
Plan de Continuidad de la Operacin: Plan proactivo que busca asegurar que los
productos o servicios continen siendo entregados durante una interrupcin no
planeada.
Polticas de Uso de Red: Directrices con el propsito de contribuir a proteger la red

de datos de abusos internos y externos, de amenazas que pueden presentarse a
travs de Internet: Tiene como fin, adems, fomentar el uso correcto y eficaz de los
recursos.
Poltica de Administracin de Contraseas: Serie de normas y protocolos a seguir

para la gestin y creacin de las contraseas que este ha de utilizar en la mayora de
los procesos y operaciones que requieren de su autenticacin.
Administracin Automtica de la Seguridad: Se conocen tambin como Sistemas

de Administracin de Identidad, se utilizan para automatizar la emisin de
reemplazos para contraseas perdidas.
Plan de Seguridad: Conjunto de decisiones que cubren la seguridad de los sistemas

informticos y que proporciona las bases para definir y delimitar responsabilidades
para las diversas actuaciones tcnicas y organizativas que se requerirn
Plan de Manejo de Contingencias: Conjunto de procedimientos que permitan

recuperar el estado normal de funcionamiento del sistema. El Plan implica un anlisis
de los posibles riesgos para reducir su posibilidad de ocurrencia y los
procedimientos a seguir en caso que se presente un problema.
Pgina 5
2011
Sistema de Detencin de Intrusos: Sistema compuesto generalmente de una

consola de administracin, sensores de red (fsicos o lgicos) y sensores de host
(instalados sobre el sistema operativo de los servidores institucionales.
Tecnologas de Informacin y Telecomunicaciones TIC: Se refiere a todos los

equipos relacionados con las tecnologas de informacin y telecomunicaciones
utilizadas a nivel Institucional.
Pgina 6
2011
1. Introduccin
El Viceministerio de Telecomunicaciones elabor el primer Plan Nacional de

Desarrollo de las Telecomunicaciones (PNDT) 2009-2014 Costa Rica: un pas en la
senda digital, y se emiti el 15 de mayo del 2009. El PNDT, tal y como lo establece la
normativa, es un instrumento de orientacin general que seala las principales lneas
de polticas, objetivos, acciones estratgicas y metas que deben guiar el desarrollo de
las telecomunicaciones, como impulsor de la Sociedad de la Informacin y el
Conocimiento en Costa Rica.
Uno de los ejes contenidos en el mencionado plan, es el de Telecomunicaciones. En

este eje existen un nmero de acciones a cumplir, referidas a la lnea estratgica
Seguridad de las Telecomunicaciones. El objetivo especfico de esta lnea es:
Garantizar la seguridad fsica y lgica de las redes de telecomunicaciones.
Por otra parte, el avance y uso cada vez mayor de las tecnologas de la informacin y
comunicacin, requiere el desarrollo de medidas que permitan aprovecharlas al
mximo, as como garantizar su utilizacin de forma segura por parte de los usuarios.
De ah que la seguridad de la informacin que transita por los medios electrnicos, se
ha convertido en uno de los principales retos de las autoridad pblicas en esta
materia.
A propsito de lo sealado en el Plan, el Viceministerio de Telecomunicaciones

realiz una investigacin de las instituciones pblicas, con respecto a la seguridad de
la informacin de sus redes; con el objetivo de brindar un diagnstico del estado
actual de las instituciones pblicas, en materia de seguridad. Este se considera un
primer insumo para alcanzar la meta 1.2.a) del Plan Nacional de Desarrollo de las
Telecomunicaciones, que corresponde a crear un Plan Rector de Continuidad de las
Operaciones que dicte las medidas de seguridad fsica y lgica de las redes y
servicios.
Pgina 7
2011
En el marco terico que conforma el documento se brinda una definicin del

concepto de seguridad informtica, realizando un repaso de los principales
estndares internacionales en este tema e indicando la normativa que actualmente se
aplica en Costa Rica.
El documento se encuentra dividido en cinco partes. La primera se refiere a los

eventos informticos ocurridos en las instituciones pblicas, la segunda detalla los
elementos o herramientas informticas implementadas por stas, la tercera refiere a
la implementacin de las medidas para la gestin de la seguridad y el manejo de
contingencias. La cuarta presenta los sistemas de seguridad fsica implementados, y
la ltima se refiere al presupuesto destinado para la seguridad informtica por parte
de las instituciones pblicas.
1.1 Objetivos
1.1.1 Objetivo General
Diagnosticar el estado de la Seguridad Informtica, en las instituciones pblicas

costarricenses.
1.1.2 Objetivos Especficos
Identificar el ataque o incidente informtico que ocurre con mayor frecuencia en

las instituciones pblicas.
Determinar el porcentaje de instituciones pblicas que poseen herramientas,
polticas y planes relacionados con la seguridad informtica.
Identificar las medidas sobre gestin de la seguridad y manejo de contingencias
que estn siendo usadas por las instituciones pblicas, y en qu porcentaje.
Determinar los sistemas de Seguridad fsica que se implementan en las
instituciones pblicas.
Determinar el presupuesto que dedican las instituciones pblicas para aspectos
relacionados con la seguridad informtica.
Pgina 8
2011
2. Marco Terico
2.1 Seguridad de la Informacin
La seguridad informtica es una disciplina que tiene como principios bsicos

proteger la confidencialidad, integridad y disponibilidad de la informacin,
implementando estrategias que cubran los procesos, en donde la informacin es un
activo primordial para una organizacin.
Es importante considerar la seguridad informtica tanto desde el punto de vista fsico

como desde el lgico. La seguridad fsica se refiere a la seguridad de los componentes
mismos de un equipo informtico (Hardware), y la seguridad lgica se refiere a la
seguridad de la informacin y los programas almacenados en un equipo o una red de
datos.
2.2 Importancia de seguridad informtica en las instituciones pblicas
Actualmente las entidades del Estado, instituciones financieras, centros de

enseanzas, instituciones de salud y empresas privadas, entre otros, acumulan una
gran cantidad de informacin sobre sus empleados, clientes, productos y servicios;
que son fundamentales para su organizacin. Dicha informacin est amenazada por
el aumento de la delincuencia informtica, que pone en riesgo a las bases de datos de
las organizaciones. Por lo tanto, es necesario contar con mecanismos apropiados con
el fin de recolectar, tratar y almacenar dicha informacin y no poner en peligro la
continuidad de las operaciones o del negocio.
En pases de Latinoamrica como Per, Mxico y Argentina se estn elaborando

normas y documentos en materia de seguridad informtica, basados
primordialmente en los estndares desarrollados por Organizacin Internacional
para la Estandarizacin (ISO) y el Instituto Britnico de Estndares (BSI). Un ejemplo
Pgina 9
2011
concreto es el estndar ISO/IEC 17799 que est siendo utilizado como base para el
desarrollo de las normas: [2]
-NTP- ISO/IEC 17799: 2004 EDI del Per

-ISO/IRAM 17799 de la Argentina
-NMX-I-041/01-NYCE-2005 de Mxico
En Costa Rica, el Instituto de Normas Tcnicas de Costa Rica (INTECO) ha realizado la

emisin del estndar ISO/IEC 27000, desarrollando la norma INTE-ISO/IEC
27000:2010.
Por otra parte, las organizaciones implementan Sistemas para la Gestin de

Seguridad de la Informacin (SGSI), con el fin de contar con herramientas para la
gestin de la seguridad de la organizacin. Estos sistemas cuentan con una adecuada
plataforma de procesos que gestiona eficientemente la accesibilidad de la
informacin, buscando asegurar la confidencialidad, integridad y disponibilidad de
los activos de informacin, minimizando a su vez los riesgos de seguridad de la
misma. [2].
Los SGSI ayudan a la organizacin a conocer los riesgos a los que est sometida su
informacin y los gestiona mediante una sistemtica metodologa definida,
documentada y conocida por todos; que se revisa y mejora constantemente.
Cabe mencionar que proteger la informacin confidencial de una institucin o

entidad es un requisito del negocio, por lo tanto, la seguridad debe ser un proceso
continuo de mejora, en donde las polticas y controles establecidos para la proteccin
de la informacin sean revisados y actualizados peridicamente. Adems, es
importante contar con un plan de riesgos que identifique las acciones que permitan
reducirlos y, en el mejor de los casos eliminarlos.
Pgina 10
2011
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados
y minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologas. [3]
Finalmente, en Costa Rica, la Contralora General de la Repblica se ha encargado de

generar directrices y polticas en el tema de la seguridad de la informacin para las
instituciones pblicas, las cuales se desarrollarn en el apartado 2.4. del presente
documento.
2.3 Estndares de seguridad informtica
Con el aumento mundial de la delincuencia informtica, la cual pone en riesgo toda la

informacin de una institucin, se han realizado esfuerzos para conformar
mecanismos o herramientas que sirven para minimizar los impactos de la
ciberguerra. [4]
Estos mecanismos comprenden un conjunto de normas, estndares o regulaciones,

as como los Sistemas para la Gestin de Seguridad de la Informacin (SGSI), los
cuales estn desarrollados y certificados por diferentes entes internacionales
especialistas en la materia.
2.3.1 Organizaciones de estndares de seguridad
Como se mencion anteriormente, existen organizaciones o entes internacionales

que poseen documentos o estndares certificables a nivel de seguridad informtica.
Cada uno de ellos tiene una estructura especfica de alcances, metodologas, marcos
Pgina 11
2011
referencias, modelos de auditora y mtricas de cumplimiento propios. Entre las

organizaciones que desarrollan y certifican los SGSI se pueden citar a:
ISO/IEC
COBIT ISACA/ITGI
ITIL Certification Management Board (ICMB)
NIST
UIT Serie X
En el anexo 1, se analizan con ms detalle los estndares de seguridad de la
informacin mencionados.
2.4 Contralora General de la Repblica
Con el fin de que cada institucin pblica del pas, bajo la supervisin de la CGR,
considere dentro de su organizacin estratgica, una adecuada administracin de TIC
que ayude a alcanzar sus metas y objetivos, el rgano fiscalizador elabor y public la
resolucin "Normas Tcnicas para la Gestin y Control de las Tecnologas de
Informacin (N-2-2007-CO-DFOE)", emitida el 7 de junio del 2007 en el diario oficial
La Gaceta No. 119 del 21 de junio 2007. [5].
Dicha resolucin, en el artculo 3 establece lo siguiente:
"Esta normativa es de acatamiento obligatorio para la Contralora General de la

Repblica y las instituciones y rganos sujetos a su fiscalizacin, que
prevalecern sobre cualquier disposicin en contrario que emita la
Administracin. Asimismo, que su inobservancia generar las responsabilidades
que correspondan de conformidad con el marco jurdico que resulte aplicable"
La norma N-2-2007-CO-DFOE seala una serie de requerimientos generales de

carcter institucional y de acatamiento obligatorio, pretendiendo hacer viable la
administracin desconcentrada de las tecnologas de informacin y comunicacin,
para lograr una mayor agilidad y oportunidad en el desarrollo de los proyectos y
Pgina 12
2011
procesos informticos. La norma se basa en algunos elementos de los estndares

COBIT y el estndar internacional ISO 27001, relacionado con la seguridad de la
informacin. El cuadro 1, muestra la estructura de la norma.
Cuadro 1: Estructura de la Norma N-2-2007-CO-DFOE de la CGR

Captulo I Normas de aplicacin general
1.1 Marco estratgico de TI
1.2 Gestin de la calidad
1.3 Gestin de riesgos
1.4 Gestin de la seguridad de la informacin
1.4.1 Implementacin de un marco de seguridad de la informacin
1.4.2 Compromiso del personal con la seguridad de la informacin
1.4.3 Seguridad fsica y ambiental
1.4.4 Seguridad en las operaciones y comunicaciones
1.4.5 Control de acceso
1.4.6 Seguridad en la implementacin y mantenimiento de
software e infraestructura tecnolgica
1.4.7 Continuidad de los servicios de TI
1.5 Gestin de proyectos
1.6 Decisiones sobre asuntos estratgicos de TI
1.7 Cumplimiento de obligaciones relacionadas con la gestin de TI
Captulo II Planificacin y organizacin
2.1 Planificacin de las tecnologas de informacin
2.2 Modelo de arquitectura de informacin
2.3 Infraestructura tecnolgica
2.4 Independencia y recurso humano de la Funcin de TI
2.5 Administracin de recursos financieros
Captulo III Implementacin de tecnologas de informacin
3.1 Consideraciones generales de la implementacin de TI
3.2 Implementacin de software
3.3 Implementacin de infraestructura tecnolgica
3.4 Contratacin de terceros para la implementacin y mantenimiento de
software e infraestructura
Captulo IV Prestacin de servicios y mantenimiento
4.1 Definicin y administracin de acuerdos de servicio
4.2 Administracin y operacin de la plataforma tecnolgica
4.3 Administracin de los datos
4.4 Atencin de requerimientos de los usuarios de TI
4.5 Manejo de incidentes
4.6 Administracin de servicios prestados por terceros
Captulo V Seguimiento
Pgina 13
2011
5.1 Seguimiento de los procesos de TI

5.2 Seguimiento y evaluacin del control interno en TI
5.3 Participacin de la Auditora Interna
Fuente: CGR. [5].
De acuerdo a lo estipulado en el numeral 1.4, donde se establece que la institucin

debe documentar e implementar una poltica de seguridad de la informacin y los
procedimientos correspondientes, asignar los recursos necesarios para lograr los
niveles de seguridad requeridos y considerar lo que establece esa normativa; la
Contralora emiti la resolucin Directrices sobre Seguridad y Utilizacin de
Tecnologas de Informacin y Comunicaciones (R-CO-61-2007), el da siete de
diciembre del dos mil siete.
Pgina 14
2011
3. Metodologa
A continuacin se describe la metodologa utilizada para recolectar la informacin

del presente estudio. La metodologa fue utilizada para generar dos documentos
adicionales, ya publicados por la Rectora (www.telecom.go.cr). El primero de ellos
refiere al estado de preparacin de las instituciones pblicas costarricenses para la
migracin a IPv61. El segundo referente a la conectividad de las instituciones pblicas
y la infraestructura actualmente disponible en ellas2.
El proceso de investigacin conllev el realizar la consulta a 77 instituciones

pblicas de las cuales se obtuvo respuesta de 74, para obtener un porcentaje de
respuesta del 96.10%3. Destaca la participacin de la totalidad de las instituciones
pertenecientes al Sistema Bancario, a los Ministerios del Gobierno Central y la
categora de otras instituciones pblicas.
Para la seleccin de las instituciones que participaron en la investigacin, se busc

que stas fueran representativas del sector pblico.
1
Disponible en lnea en http://www.telecom.go.cr/index.php/publicaciones2/doc_download/277-
ipv6--costa--rica
2
Disponible en lnea en http://www.telecom.go.cr/index.php/en--contacto--con--el-
usuario/documentos/doc_download/330--conectividad--a--internet--en--instituciones--publicas
3 Ver Anexo 2: Instituciones Participantes.
Pgina 15
2011
Grfico 3.1. Porcentaje de Respuesta segn tipo de institucin.
Universidades 75%
Adscritas 92%
Autnomas 95%
Sistema Bancario 100%
Ministerios 100%
Otras 100%
0% 20% 40% 60% 80% 100%
Porcentaje de respuesta
Fuente: Elaboracin propia, basado en resultados de la Encuesta: Conexin de las
Instituciones Pblicas a Internet por medio de banda ancha y disposicin de acceso
inalmbrico a Internet para los usuarios de los servicios. Marzo 2011 [6].
Seguidamente se agrega la ficha tcnica de la encuesta que se realiz a las

instituciones pblicas.
Ficha Tcnica
Producto: Encuesta a Instituciones Pblicas del Sector Costarricense

Ttulo: Conexin de las Instituciones Pblicas a Internet por medio de banda ancha y
disposicin de acceso inalmbrico a Internet para los usuarios de los servicios
Instituciones encuestadas: 74 pblicas
Fecha de consulta: febrero a marzo 2011
Fecha de recoleccin de datos: XXX 2011
Anlisis de datos obtenidos: xxxxx 2011
Lugar: San Jos, Costa Rica
Consulta realizada: por Internet
El grfico 3.2 muestra el porcentaje por tipo de institucin pblica, de las 74 que
participaron en la encuesta.
Pgina 16
2011
Grfico 3.2. Porcentaje de participacin por institucin que particip en la encuesta.
Adscritas
16%
Ministerios
24%
Otras
19%
Autnomas
29%
Universidades
4%
Sistema Bancario
8%

3.1 Perfil de las de las instituciones participantes en el diagnstico
El cuestionario elaborado para la recoleccin de informacin, se dirigi a los jefes de

Informtica o de Tecnologas de la Informacin. De las 74 instituciones, se obtuvo
respuesta de parte de las Jefaturas en un 93.2%.
Pgina 17
2011
Grfico 3.1.1. Informacin recibida segn tipo de Informante.
7%
Jefaturas
Otros
93%
Fuente: Elaboracin propia, basado en resultados de la Encuesta: Conexin de las Instituciones

Pblicas a Internet por medio de banda ancha y disposicin de acceso inalmbrico a Internet para
los usuarios de los servicios. Marzo 2011 [6].
As mismo, se pudo determinar que el 70% de los informantes poseen ms de 2 aos

de encontrarse en el puesto, por lo cual la informacin recabada sobre acciones
realizadas en aos anteriores, corresponden a periodos donde los encargados son las
mismas personas.
Pgina 18
2011
Grfico 3.1.2. Antigedad laboral de los informantes en el Puesto.
30%
Menos de 2 aos
De 2 aos a menos 5 aos
53% Ms de cinco aos
17%

3.2 Mtodo de consulta y recoleccin de informacin
La Rectora de Telecomunicaciones elabor un cuestionario de 16 preguntas,

dividido en 3 secciones. La primera de ellas denominada Identificacin, conformado
por preguntas sobre datos de la persona que completaba el cuestionario. [6]
La segunda seccin indaga sobre datos de la conectividad de las instituciones para

los aos 2009 y 2010; adems de las velocidades de conexin, tambin se consulta
sobre la cantidad de computadoras y cuenta de correo electrnicos para los
colaboradores.
La tercera seccin rene las preguntas sobre IPv6 y medidas de Seguridad

Informtica adoptadas. Dicho formulario se encontraba disponible en la pgina de
Internet de la Rectora de Telecomunicaciones. Los informantes (Jefes de
Informtica) de las instituciones pblicas participantes, fueron contactados por
Pgina 19
2011
medio de carta, enviada va fax y correo electrnico. El perodo de cumplimentacin

del cuestionario se extendi a lo largo de tres semanas.
Pgina 20
2011
4. Seguridad Informtica en el Sector pblico Costarricense
Los grficos e informacin presentada a continuacin dan cuenta del estado actual de
la seguridad informtica en el sector pblico costarricense. En ellos se evidencia,
entre otros aspectos, cul ha sido el ataque o incidente informtico que ha ocurrido
con mayor frecuencia en las instituciones pblicas.
4.1 Eventos informticos ocurridos en las Instituciones Pblicas, en el

periodo de enero del 2010 a enero del 2011
El grfico 4.1.1, muestra que la presencia de virus, troyanos, malware y spyware ha

sido el mayor evento informtico ocurrido dentro de las instituciones pblicas (80%).
El segundo evento en ocurrencia fue el robo de equipos terminales, lo cual podra
considerarse un indicador de problemas en la seguridad fsica de las instituciones.
Adicionalmente, resalta la existencia de un porcentaje considerable (alrededor de
15%) que mencionan no haber tenido ningn problema, lo cual podra obedecer a
adecuadas polticas de seguridad, o bien, al desconocimiento de los mismos.
Pgina 21
2011
Grfico 4.1.1. Eventos informticos ocurridos en Instituciones Pblicas
100%
Empleados robando
informacin digital o
permitiendo accesos a
dicha informacin sin
80% autorizacin.
Presencia de virus,
troyanos, malware,
spyware y dems en su
red.
60%
Sus sistemas siendo
atacados por parte de
hackers.
40%
Prdida accidental o
robo de los sistemas de
respaldo.
20%
Prdida accidental o
robo de equipos
terminales.
0%
Ninguna de las
anteriores.

Pblicas a Internet por medio de banda ancha y disposicin de acceso inalmbrico a Internet para los
usuarios de los servicios. Marzo 2011 [6].
A continuacin se presenta el desglose de los datos obtenidos referentes a la

presencia de virus por institucin. En este caso, 100% de las universidades han
enfrentando problemas de virus, lo que puede considerarse natural por la diversidad
de usuarios que atienden; mientras que slo el 71% de las autnomas registran este
tipo de eventos.
Pgina 22
2011
Grfico 4.1.2. Presencia de virus, troyanos, malware, spyware dentro las Redes de las
Instituciones Pblicas.
Promedio 80%
Universidades 100%
Otras 86%
Sistema Bancario 83%
Ministerios 83%
Adscritas 75%
Autnomas 71%

Los grficos 4.1.3, 4.1.4, 4.1.5 y 4.1.6 que se muestran a continuacin, presentan un
mayor detalle de la informacin. Concretamente, se muestran los porcentajes de
incidencia de eventos en cada tipo de institucin pblica. De los grficos se destaca
que en las universidades, se encuentran los mayores porcentajes de incidencia de
eventos informticos.
Adems, el menor evento que presentan las instituciones pblicas es el robo de

informacin digital o accesos sin autorizacin por parte de los empleados (9%).
Pgina 23
2011
Grfico 4.1.3. Porcentaje del incidente empleados robando informacin digital o

accediendo a informacin sin autorizacin, en cada tipo de institucin pblica.
33%
17%
14%
9%
7%
0%

Grfico 4.1.4. Porcentaje del incidente sistemas atacados por hackers, en cada tipo
de institucin pblica.
67%
22%
17%
14% 15%
10%
0%
Pgina 24
2011

Grfico 4.1.5. Porcentaje del incidente prdida accidental o robo de los sistemas de
respaldo, en cada tipo de institucin pblica.
19%
17% 17%
12%
0% 0% 0%

Pgina 25
2011
Grfico 4.1.6. Porcentaje del incidente prdida accidental o robo de equipos

terminales, en cada tipo de institucin pblica.
66,7%
50,0%
37,8%
42,9%
41,7%
17%
14%

4.1.1 Detalle de eventos informticos por tipo de institucin pblica
A continuacin se presenta, para cada categora de institucin pblica, la informacin

detallada con respecto a los eventos informticos registrados.
4.1.1.1 Eventos informticos en Ministerios
El grfico 4.1.7, muestra los eventos informticos ocurridos en ministerios, donde se

muestra que la seguridad lgica y fsica se ha visto afectada, tanto por los virus en el
sistema como por los robos de equipos terminales.
Pgina 26
2011
Grfico 4.1.7. Eventos informticos registrados en Ministerios.
Presencia de virus, troyanos, malware,

83%
spyware y dems en su red.
Prdida accidental o robo de equipos

50%
terminales.
Sus sistemas siendo atacados por parte

22%
de hackers.
Prdida accidental o robo de los

17%
sistemas de respaldo.
Ninguna de las anteriores. 11%
Empleados robando informacin digital

o permitiendo accesos a dicha 0%
informacin sin autorizacin.

4.1.1.2 Eventos informticos en Instituciones Autnomas
En el grfico 4.1.8, se muestra que en las instituciones autnomas, se registraron

todos los eventos contra la seguridad informtica que fueron consultados en la
encuesta, lo cual indica que la seguridad de sus sistemas de informacin es un asunto
al que se le debe continuar brindando atencin, tiempo y esfuerzo para mantenerlos
seguros.
Pgina 27
2011
Grfico 4.1.8. Eventos informticos registrados en Instituciones Autnomas.
Presencia de virus, troyanos, malware, 71%


terminales. 43%
Prdida accidental o robo de los sistemas

19%
de respaldo.

o permitiendo accesos a dicha 14%
10%
de hackers.

4.1.1.3 Eventos informticos en Instituciones Bancarias
En el grfico 4.1.9, se muestran los porcentajes de los eventos registrados en las

instituciones bancarias. Se resalta que la presencia de virus y troyanos, son los
eventos ms importantes. Los bancos presentan porcentajes menores de los otros
incidentes, en comparacin con las otras instituciones encuestadas. Adems, cabe
mencionar que no reportan acceso a informacin sin autorizacin, ni robos de
informacin a nivel de sistemas de respaldo, lo que evidencia que este tipo de
instituciones han implementado procesos y estndares de buenas prcticas que les
permiten brindar mayores niveles de seguridad a su informacin.
Los buenos resultados podran atribuirse a que a nivel financiero, la SUGEF emiti el
Reglamento sobre la gestin de la Tecnologa de la Informacin, publicado en el
diario oficial La Gaceta N50 del jueves 12 de marzo del 2009, donde faculta al
Superintendente General de Entidades Financieras para emitir lineamientos
Pgina 28
2011
generales y de cumplimiento obligatorio por parte de las entidades financieras de

Costa Rica, sobre la gestin de TI. (Dicho reglamento est basado en el marco de
referencia de buenas prcticas para el control de TI, COBIT 4.0). [7].
Grfico 4.1.9. Eventos informticos registrados en el Sistema Bancario.

83%
Sus sistemas siendo atacados por parte de 17%

hackers.

17%
terminales.
Empleados robando informacin digital o

permitiendo accesos a dicha informacin sin 0%
autorizacin.
Prdida accidental o robo de los sistemas de
0%
respaldo.

4.1.1.4 Eventos informticos en Universidades
El grfico 4.1.10 muestra que la presencia de virus, troyano, malware y spyware es el

evento que se ha presentado en todas las universidades que conformaron la
encuesta. Adems, se muestra que los eventos relacionados con seguridad fsica y
lgica tambin presentan porcentajes altos de incidencia en este tipo de institucin.
Pgina 29
2011
Grfico 4.1.10. Eventos informticos registrados en Universidades.

100%

66,67%
de hackers.

66,67%
terminales.
o permitiendo accesos a dicha 33,33%
Prdida accidental o robo de los sistemas
0,00%
de respaldo.
Ninguna de las anteriores. 0,00%

4.1.1.5 Eventos informticos en Instituciones Adscritas
En el grfico 4.1.11, se muestran los porcentajes de los eventos registrados en las

instituciones adscritas, donde la presencia de virus y la prdida o robo de terminales
son los incidentes informticos ms acontecidos.
Pgina 30
2011
Grfico 4.1.11. Eventos informticos registrados en Instituciones Adscritas .

75%

terminales. 41,67%
Empleados robando informacin digital o

permitiendo accesos a dicha informacin sin 16,67%
autorizacin.
Prdida accidental o robo de los sistemas de
16,67%
respaldo.
Ninguna de las anteriores. 8,33%
Sus sistemas siendo atacados por parte de

hackers. 0%

Pgina 31
2011
4.2 Elementos o herramientas informticas implementadas en las

Instituciones Pblicas
Con la encuesta se obtuvo informacin respecto a los elementos informticos,

herramientas, polticas y planes implementados en las instituciones pblicas con el
fin de proteger su red de ataques. Los siguientes grficos presentan en detalle la
situacin actual. Nuevamente es importante hacer notar que es el sistema bancario el
ms preparado en el mbito de la seguridad, pues todas sus instituciones cuentan con
planes de continuidad de operacin, polticas de uso de red para los empleados,
administracin automtica de la seguridad y polticas de administracin de
contraseas y nombres de usuarios.
El grfico 4.2.1. muestra los porcentajes de las instituciones que implementaron

elementos informticos relacionados a planes y polticas de seguridad, en sus redes,
donde se resalta que las polticas de administracin de contraseas y nombres de
usuario son las ms implementadas en las instituciones pblicas.
Pgina 32
2011
Grfico 4.2.1. Porcentaje de Instituciones que implementaron elementos informticos en sus

redes. (Planes y polticas)
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Plan de continuidad Polticas de uso de Administracin Polticas de
de la operacin. red para los automtica de la administracin de
empleados seguridad contraseas y
nombres de usuario.
Ministerios Autnomas Sistema Bancario Universidades Otras Adscritas

A continuacin se muestran los porcentajes de las instituciones que implementaron

elementos informticos relacionados a infraestructura y programas de seguridad
informtica en sus redes. (Grfico 4.2.2). Tal como puede apreciarse en el grfico,
prcticamente la totalidad de las instituciones cuentan con software que permita
controlar el spam, spyware, malware y virus, as como con un firewall; sin embargo, el
porcentaje disminuye cuando se consulta por sistemas de deteccin de intrusos.
Pgina 33
2011
Grfico 4.2.2. Porcentaje de Instituciones que implementaron elementos informticos

en sus redes. (Infraestructura y programas)
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Control de spam Proteccin contra Muro de Fuego Sistemas de
(correo no spyware, maleware, Deteccin de
deseado). viruses etc intrusos (IDS )
Ministerios Autnomas Sistema Bancario Universidades Otras Adscritas

El grfico 4.2.3, muestra que la implementacin de controles de spam y protecciones

contra spyware, maleware, virus, etc., son las herramientas informticas que ms se
presentan en las instituciones pblicas (96%). A pesar de que sta es la medida ms
bsica de seguridad, debido a la gran cantidad de amenazas existentes, hay
ministerios y autnomas que an no han implementado herramientas para
prevenirlos.
Dentro las instituciones que presentaron mayor implementacin de estas

herramientas, se encuentran las correspondientes al sistema bancario y las
universidades. Este dato es congruente con lo mostrado en el grfico 4.1.2, donde las
universidades y las instituciones bancarias presentaban gran porcentaje de
incidencia en la presencia de virus, troyanos, malware, spyware, etc.; se evidencia que
dichas instituciones han realizado esfuerzos para contrarrestar lo mostrado.
Pgina 34
2011
Grfico 4.2.3. Porcentajes de Instituciones que implementaron un control de spam y

proteccin de virus, spyware, etc.
Control de spam (correo no deseado).

Proteccin contra spyware, maleware, viruses etc
100% 100% 100% 100% 100% 100%
96% 96%
95% 95%
94% 94%
93% 93%

Los grficos 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8 y 4.2.9 mostrados a continuacin, presentan
el porcentaje de las instituciones que implementaron polticas para la proteccin de
sus redes de datos. Resalta el hecho de que el 59% de las instituciones pblicas
cuentan con un plan de continuidad de las operaciones, que las universidades no
cuentan con polticas de uso de red para sus funcionarios y que las polticas de
administracin de nombres de usuarios y contraseas constituyen una de las
polticas ms extendidas.
Pgina 35
2011
Grfico 4.2.4. Porcentaje de Instituciones que implementaron la herramienta Plan de

continuidad de la operacin para proteccin de la informacin.
100%
64%
61%
52% 59%
50%
33%

Grfico 4.2.5. Porcentaje de Instituciones que implementaron la herramienta

polticas de uso de red para los empleados para proteccin de la informacin.
100%
86%
83%
77%
75%
64%
0%
Pgina 36
2011


administracin automtica de la seguridad para proteccin de la informacin.
83%
67%
67%
61%
50% 50%
33%


polticas de administracin de contraseas y nombres de usuarios para proteccin
de la informacin.
Pgina 37
2011
100% 95%
92%
86% 88%
78%
67%

Grfico 4.2.8. Porcentaje de Instituciones que implementaron la herramienta muro de

fuego para proteccin de la informacin.
100% 100% 100%

94% 92%
90%
79%
Pgina 38
2011

Grfico 4.2.9 Porcentaje de Instituciones que implementaron la herramienta sistemas

de deteccin de intrusos (IDS) para proteccin de la informacin.
100%
78%
76% 73%
67% 64%
33%

4.2.1 Detalle de herramientas informticas por tipo de institucin

detallada con respecto a las herramientas informticas registradas.
4.2.1.1 Herramientas informticas implementadas en Ministerios
El grfico 4.2.10, muestra el porcentaje de los ministerios que cuentan con diferentes
tipos de herramientas informticas, segn la encuesta. Del grfico se obtiene que en
la mayora de los ministerios, para proteger sus redes de informacin, se estn
Pgina 39
2011
implementando herramientas enfocadas en evitar intromisiones a la red, correos no

deseados y virus. Cabe destacar que solo el 61% de los ministerios encuestados
presenta planes de continuidad de operaciones, los cuales constituyen una
herramienta fundamental en caso de un desastre, catstrofe natural o ataque
informtico.
Grfico 4.2.10. Porcentaje de Ministerios, con diferentes tipos de herramientas

informticas.
Muro de Fuego 94%
Proteccin contra spyware, maleware,

viruses etc 94%
Control de spam (correo no deseado). 94%
Polticas de uso de red para los empleados 83%
Sistemas de Deteccin de intrusos (IDS ) 78%

Polticas de administracin de contraseas y
78%
nombres de usuario.
Administracin automtica de la seguridad 67%
Plan de continuidad de la operacin. 61%

4.2.1.2 Herramientas informticas implementadas en Instituciones Autnomas
En el grfico 4.2.11, se muestra que en la mayora de las instituciones autnomas,

las herramientas informticas que ms se implementan son las referidas al control de
spam, proteccin de virus y polticas de administracin de contraseas y nombres de
usuario. Tambin cale destacar que solo el 52% de las autnomas, implementan
planes de continuidad del negocio, al igual que en los ministerios.
Grfico 4.2.11. Porcentaje de Instituciones Autnomas, con diferentes tipos de

herramientas informticas.
Pgina 40
2011
Proteccin contra spyware, maleware, viruses

95%
etc
95%
nombres de usuario.
Muro de Fuego 90%

4.2.1.3 Herramientas informticas implementadas en Instituciones Bancarias
En el grfico 4.2.12, se muestran los porcentajes de instituciones del sistema

bancario que tienen implementado herramientas informticas, destacando que es el
sector que present la mayor utilizacin de estas herramientas segn la encuesta.
Esto, tal como se coment anteriormente, probablemente guarda relacin con la
SUGEF y el Reglamento sobre la gestin de la Tecnologa de la Informacin,
publicado en el diario oficial La Gaceta N50 del jueves 12 de marzo del 2009.
Pgina 41
2011
Grfico 4.2.12. Porcentaje del Sistema Bancario, con diferentes tipos de herramientas
informticas.
Muro de Fuego 100%

100%
viruses etc
Polticas de administracin de contraseas
100%
y nombres de usuario.

4.2.1.4 Herramientas informticas implementadas en Universidades
El grfico 4.2.13, muestra el porcentaje de universidades que cuentan con

herramientas informticas, segn la encuesta. Del grfico se obtiene que en todas las
universidades se han implementando herramientas enfocadas a evitar intromisiones
a la red, correos no deseados y virus. Sin embargo, existe un bajo porcentaje de
universidades donde se implementen IDS, administracin automtica de la seguridad
y un plan de continuidad de operacin. Adems, se recalca que no implementan
polticas de uso de redes para los empleados.
Pgina 42
2011
Grfico 4.2.13. Porcentaje de Universidades, con diferentes tipos de herramientas

informticas.
Muro de Fuego 100%

100%
viruses etc
Polticas de administracin de contraseas
67%
y nombres de usuario.

4.2.1.5 Herramientas informticas implementadas en Instituciones Adscritas y

Otras Instituciones
En el grfico 4.2.14, se muestra que en las instituciones adscritas que participaron en

la encuesta, el 50% de ellas no cuenta con plan de continuidad de las operaciones
dentro de su organizacin ni polticas de uso de red para los empleados.
Pgina 43
2011
Grfico 4.2.14. Porcentaje de Instituciones Adscritas, con diferentes tipos de

herramientas informticas.
Muro de Fuego 100%

100%
viruses etc
92%
nombres de usuario.

El grfico 4.2.15, muestra el porcentaje de otras instituciones que participaron en la

encuesta, con diferentes herramientas informticas.
Grfico 4.2.15. Porcentaje de Otras Instituciones, con diferentes tipos de herramientas

informticas.
Pgina 44
2011
Proteccin contra spyware, maleware, viruses

93%
etc
86%
nombres de usuario.
Muro de Fuego 79%

4.3 Implementacin de medidas sobre gestin de la seguridad y manejo

de contingencias
Se consult sobre las diferentes medidas de gestin de la seguridad y el manejo de

contingencias que han implementado las instituciones. El resultado de las medidas
implementadas se muestra en el grfico 4.3.1. Nuevamente las instituciones del
sector bancario son las que ms medidas ha implementado.
Pgina 45
2011
Grfico 4.3.1. Porcentaje de Instituciones que tienen medidas para la gestin de la

seguridad y manejo de contingencias.
100%
Se cuenta con un plan de
90%
seguridad
80%
70% Existe un responsable que
coordine las medidas de
60% seguridad establecidas
50% Existe un plan de manejo de

contingencias.
40%
30% Se han incluido en el mismo

los aspectos relacionados con
20% las comunicaciones
10% Realiza el seguimiento del
plan de su seguridad
0%
personal de la empresa.
Ninguna de las anteriores

Los grficos 4.3.2, 4.3.3, 4.3.4, 4.3.5 mostrados a continuacin, presentan el

porcentaje de las instituciones que implementaron diversas medidas sobre la gestin
de seguridad y contingencias, segn la encuesta. En los grficos se evidencia que las
instituciones del sistema bancario son las que mejor se encuentran en el tema de las
medidas para la gestin de seguridad y contingencias, motivados probablemente por
lo sensible que es la informacin financiera.
El seguimiento del plan de seguridad del personal de la empresa, es la medida que

menos se implementa en las instituciones pblicas (30%). De hecho, llama la
atencin que en ninguna de las instituciones universitarias se sigue esta medida.
Grfico 4.3.2. Porcentaje de Instituciones que implementaron la medida de se cuenta

con un plan de seguridad, para gestin de seguridad y contingencias.
Pgina 46
2011
67%
44%
38% 35%
33%
21%
17%

Grfico 4.3.3. Porcentaje de Instituciones que implementaron la medida de existe un

responsable que coordine las medidas de seguridad establecidas, para gestin de
seguridad y contingencias.
100%
57% 56% 53%

42%
36% 33%

Pgina 47
2011
Grfico 4.3.4. Porcentaje de Instituciones que implementaron la medida de existe un

plan de manejo de contingencias, para gestin de seguridad y contingencias.
100%
67%
57%
43% 47%
33%
28%

Grfico 4.3.5. Porcentaje de Instituciones que implementaron la medida de realiza el

seguimiento del plan de su seguridad del personal de la empresa, para gestin de
seguridad y contingencias.
50%
48%
33%
30%
14%
8%
0%
Pgina 48
2011

4.3.1 Detalle de gestin de seguridad y contingencia por tipo de institucin

detallada con respecto a las herramientas informticas registradas.
4.3.1.1 Medidas de Gestin de Seguridad y Contingencias en Ministerios
El grfico 4.3.6, muestra el porcentaje de ministerios que tienen implementadas

medidas de gestin de seguridad y contingencias. La mayora de los ministerios
cuenta con un responsable que coordine las medidas de seguridad establecidos, sin
embargo, las otras medidas implementadas tienen porcentajes muy bajos, siendo el
ms bajo, el plan de manejo de contingencias.
Grfico 4.3.6. Porcentaje de Ministerios con medidas de gestin de la seguridad y

manejo de contingencias.
Existe un responsable que coordine las

56%
medidas de seguridad establecidas
Se cuenta con un plan de seguridad 44%
Se han incluido en el mismo los aspectos

33%
relacionados con las comunicaciones
Realiza el seguimiento del plan de su
33%
seguridad personal de la empresa.
Ninguna de las anteriores 33%
Existe un plan de manejo de contingencias. 28%

Pgina 49
2011
4.3.1.2 Medidas de Gestin de Seguridad y Contingencias en Instituciones

Autnomas
El grfico 4.3.7, muestra que en las instituciones autnomas, las medidas que ms
se implementan son las referidas a la existencia del plan de manejo de contingencias
y un responsable que coordine las medidas de seguridad establecidas. Cabe resaltar
que el 33% de las instituciones no cuenta con ninguna medida de gestin.
Grfico 4.3.7. Porcentaje de Instituciones Autnomas con medidas de gestin de la

Existe un responsable que coordine las 57%


48%
38%


Bancarias
En el grfico 4.3.8, se muestra que en las instituciones del sistema bancario

encuestadas, se implementaron en un 100% las medidas relacionadas a la seguridad,
contingencias y comunicaciones, siendo este sector el que mayor implementacin
tiene, en comparacin con las otras instituciones encuestadas.
Pgina 50
2011
Grfico 4.3.8. Porcentaje de Sistema Bancario con medidas de gestin de la seguridad

y manejo de contingencias.

100%

100%

50%

4.3.1.4 Medidas de Gestin de Seguridad y Contingencias en Universidades

En el grfico 4.3.9, se puede apreciar que las universidades tienen muy pocas
medidas implementadas sobre planes de seguridad; adems, se muestra que en
ninguna de las universidades encuestadas, se le da seguimiento al plan de su
seguridad personal de la empresa ni cuenta con un plan de comunicaciones.
Pgina 51
2011
Grfico 4.3.9. Porcentaje de Universidades con medidas de gestin de la seguridad y

manejo de contingencias.

33%


Adscritas
El grfico 4.3.10, muestra el porcentaje de instituciones adscritas que cuentan con
medidas de gestin de la seguridad y contingencias, donde se evidencia que la mayor
medida implementada es la existencia de un responsable de la seguridad, establecida
en un porcentaje del 42%.
Pgina 52
2011
Grfico 4.3.10. Porcentaje de Instituciones Adscritas con medidas de gestin de la


42%

8%
8%

4.4 Sistemas de Seguridad Fsica implementados en instituciones

pblicas.
El grfico 4.4.1 muestra el resultado de la encuesta sobre los diferentes sistemas de

seguridad fsica, que tienen implementados las instituciones pblicas para proteger
su red de datos.
Pgina 53
2011
Grfico 4.4.1. Porcentaje de Instituciones que cuentan en sus redes sistemas seguridad
fsica.
100%
90% Filtros , estabilizadores,

supresores y/o dems
80% dispositivos para controlar
la calidad del suministro
70% elctrico
Fuentes de alimentacin
60% redundantes para los
equipos de red
50%
40% Sistemas de Alimentacin

ininterrumpida.
30%
20%
Sistemas de monitoreo para
10% el consumo y la continuidad
del servicio elctrico.
0%
Control de acceso ssico a los

dispositivos de red.

El grfico 4.4.2, muestra que los sistemas de alimentacin ininterrumpida son las
medidas de seguridad fsica que mayormente se tienen implementadas en las
instituciones pblicas (86%), encabezando la lista las del sector bancario y las
universidades con 100%, segn la encuesta.
Pgina 54
2011
Grfico 4.4.2. Porcentaje de instituciones pblicas que tienen instalados sistemas de

alimentacin interrumpida.
100% 100%
93%
86% 83% 86%
78%

Los grficos 4.4.3, 4.4.4, 4.4.5, 4.4.6 mostrados a continuacin, presentan el

porcentaje de las instituciones que implementaron diversas medidas sobre seguridad
fsica de sus redes de informacin, segn la encuesta. Las instituciones del sistema
bancario son las que presentan mayor implementacin de estas medidas, en general.
Adicionalmente, los sistemas de monitoreo para el consumo y continuidad del
servicio elctrico es el que muestra menor porcentaje de implementacin en las
instituciones pblicas, con un 19%. Los sistemas de monitoreo del uso continuo y
continuo de la electricidad sirven para realizar anlisis de eficiencia energtica, y
sirven como insumo para desarrollar polticas internas de mejoras continuas, con el
propsito de no interrumpir el servicio elctrico de la institucin.
Grfico 4.4.3. Porcentaje de Instituciones que implementaron filtros, estabilizadores,

supresores y/o dems dispositivos para controlar la calidad del suministro elctrico
Pgina 55
2011
para mantener la seguridad fsica en sus redes.
100%
86%
67% 70%
64%
58%
0%

Grfico 4.4.4. Porcentaje de Instituciones que implementaron fuentes de

alimentacin redundantes para los equipos de red para mantener la seguridad fsica
en sus redes.
100% 100%
81%
70%
64% 61%
50%
Pgina 56
2011

Grfico 4.4.5. Porcentaje de Instituciones que implementaron sistemas de monitoreo

para el consumo y la continuidad del servicio elctrico para mantener la seguridad
50%
29%
24%
19%
8%
6%
0%
fsica en sus redes.

Pgina 57
2011
Grfico 4.4.6. Porcentaje de Instituciones que implementaron controles de acceso

fsico a los dispositivos de red para mantener la seguridad fsica en sus redes.
100%
67% 67% 64% 64%

56% 50%

4.4.1 Detalle de sistemas de seguridad fsica por tipo de institucin

detallada con respecto a los sistemas de seguridad fsica registrados.
4.4.1.1 Sistemas de Seguridad fsica implementados en Instituciones

Autnomas y Ministerios
El grfico 4.4.7, muestra el porcentaje de instituciones autnomas y ministerios que

tienen implementados sistemas de seguridad fsica, segn la encuesta. Se puede
apreciar que ambas instituciones presentan el mismo comportamiento, sin embargo,
las instituciones autnomas tienen mayor porcentaje de implementacin que los
ministerios. El mayor porcentaje de implementacin se encuentra en los sistemas
referidos a la alimentacin ininterrumpida, sistemas de redundancia elctrica y
dispositivos para mejorar la calidad del servicio elctrico; por otro lado, lo que
Pgina 58
2011
presenta menor implementacin son los sistemas de monitoreo para consumo y

continuidad del servicio elctrico.
Grfico 4.4.7. Porcentaje de Instituciones Autnomas y Ministerios que

implementaron sistemas de seguridad fsica.
Autnomas Ministerios
Tienen instalados Sistemas de Alimentacin 86%

ininterrumpida. 78%
Filtros , estabilizadores, supresores y/o 86%

dems dispositivos para controlar la calidad
del suministro elctrico 67%
81%
Tienen instaladas fuentes de alimentacin
redundantes para los equipos de red 61%
67%
Control de acceso ssico a los dispositivos de
red. 56%
24%
Sistemas de monitoreo para el consumo y la
continuidad del servicio elctrico. 6%

4.4.1.2 Sistemas de Seguridad implementados en Instituciones Bancarias
El grfico 4.4.8, muestra que las instituciones del sistema bancario encuestadas
presentan el mayor porcentaje de implementacin de medidas de seguridad fsica.
Sin embrago, resalta el hecho de que el monitoreo sigue siendo la medida menos
implementada en las instituciones pblicas.
Grfico 4.4.8. Porcentaje del Sistema Bancario que implement sistemas de seguridad
fsica.
Pgina 59
2011

100%
red.
Tienen instalados Sistemas de Alimentacin

100%
ininterrumpida.

100%
redundantes para los equipos de red
Filtros , estabilizadores, supresores y/o
dems dispositivos para controlar la calidad 100%
del suministro elctrico
50%

4.4.1.3 Sistemas de Seguridad implementados en Universidades
En el grfico 4.4.9 se muestra el porcentaje de universidades que han implementado

sistemas de seguridad fsica en sus redes. Los sistemas de alimentacin
ininterrumpida y la redundancia de la alimentacin elctrica estn presentes en
todas las universidades. Sin embargo, destaca que los sistemas de monitoreo y los
dispositivos que ayudan a la calidad del servicio de la energa elctrica no se han
implementado en ninguna de las universidades encuestadas.
Pgina 60
2011
Grfico 4.4.9. Porcentaje de Universidades que implementan sistemas de seguridad

fsica.

100%
ininterrumpida.

100%

67%
red.

0%

4.4.1.4 Sistemas de Seguridad implementados en Instituciones Adscritas y

Otras Instituciones
Los grficos 4.4.10 y 4.4.11 muestran los porcentajes de instituciones adscritas y en

otras instituciones encuestadas, que cuentan con sistemas de seguridad fsica. Del
grfico se desprende que el mayor porcentaje se presenta en los sistemas de
alimentacin ininterrumpida, y el menor, en los sistemas de monitoreo.
Grfico 4.4.10. Porcentaje de Instituciones Adscritas que implementa sistemas de

seguridad fsica.
Pgina 61
2011

83%
ininterrumpida.
50%
red.

50%

8%

Grfico 4.4.11. Porcentaje Otras Instituciones que implementan sistemas de seguridad

fsica.

93%
ininterrumpida.

64%
red.

64%
29%

4.5 Presupuesto para Seguridad Informtica
Pgina 62
2011
Para brindar seguridad es necesario adquirir e implementar un conjunto de buenas

prcticas dentro de las instituciones. Adicionalmente, es necesario capacitar el
personal y adquirir hardware y software que permita llevar a cabo las tareas
relacionadas a este tema. A continuacin se presenta una serie de grficos e
informacin que muestran el presupuesto que dedican las instituciones pblicas para
aspectos relacionados con la seguridad informtica.
El grfico 4.5.1 seala el porcentaje del monto del presupuesto anual que destinan las
instituciones pblicas, en el tema de seguridad informtica, para el ao 2010.
Grfico 4.5.1. Porcentaje de instituciones de acuerdo al presupuesto destinado a

seguridad informtica (colones).
80%
70%
60%
50%
40% Menos de 5 millones
30% Ms de 5 a 20 millones
20% Ms de 20 a 50 millones
Ms de 50 millones
10%
0%

Pgina 63
2011
Los grficos 4.5.2, 4.5.3, 4.5.4, 4.5.5, muestran el porcentaje por tipo de instituciones
pblicas, que destinaron cierto monto de su presupuesto en colones a la seguridad
informtica. Las instituciones adscritas se ubican mayoritariamente en la franja de
menos de 5 millones. En las que invierten entre 5 y 20 millones se encuentran los
ministerios y las universidades. En el rango de 20 a 50 millones y en el de ms de 50
millones de colones, el mayor porcentaje se presenta en las instituciones autnomas
y las instituciones del sistema bancario, respectivamente.
Grfico 4.5.2. Porcentaje de Instituciones que destinaron menos de 5 millones de

colones del presupuesto TIC, para seguridad informtica.
50%
33%
21%
14%
0% 0%

Grfico 4.5.3. Porcentaje de Instituciones que destinaron entre 5 a 20 millones de

Pgina 64
2011
33% 33%
29%
25% 24%
0%

Grfico 4.5.4, Porcentaje de Instituciones que destinaron entre 20 y 50 millones de

19%
11%
8% 7%
0% 0%

Pgina 65
2011
Grfico 4.5.5. Porcentaje de Instituciones que destinaron ms de 50 millones de

67%
39% 33%
36% 33%
8%

Presupuestos para seguridad informtica en Instituciones Pblicas
El grfico 4.5.6 muestra el porcentaje de instituciones pblicas que destinan parte de

su presupuesto, para seguridad informtica segn los rangos establecidos. Cabe
resaltar que el 34% de las instituciones pblicas destinan ms de 50 millones de
colones, y el 26% destina entre 5 a 20 millones.
Grfico 4.5.6. Porcentaje de instituciones pblicas con montos del presupuesto en

colones que se destina a seguridad informtica.
Pgina 66
2011
No
Ms de 20 a 50
informa,
millones, 11%
11%
Ms de 50
millones, 34%
Menos de 5
millones,
19%
Ms de 5 a 20
millones, 26%

4.5.1 Detalle de presupuesto para seguridad informtica por tipo de institucin

detallada con respecto al presupuesto para seguridad informtica.
4.5.1.1 Presupuestos para seguridad informtica en Ministerios
El grfico 4.5.7 muestra que en los ministerios encuestados, el mayor presupuesto

TIC que se destina a la seguridad informtica es de 50 millones, seguido por
presupuestos entre 5 a 20 millones. Cabe destacar que ninguno de los ministerios da
un monto menor de 5 millones de colones en el tema de seguridad informtica.
Pgina 67
2011
Grfico 4.5.7. Porcentaje de ministerios con montos del presupuesto en colones que se
destina a seguridad informtica.
No
informa,
Ms de 50 17% Ms de 20 a
millones, 50 millones,
39% 11%
Ms de 5 a
20 millones,
33%

4.5.1.2 Presupuestos para seguridad informtica en Instituciones Autnomas
En el grfico 4.5.8 se muestra el monto del presupuesto destinado a la seguridad

informtica por parte de las instituciones autnomas. La mayora de ellas invierten
ms de 50 millones de colones, sin embargo, existen algunas instituciones que
destinan menos de 5 millones en el tema de seguridad informtica.
Pgina 68
2011
Grfico 4.5.8. Porcentaje de instituciones autnomas con montos del presupuesto en

No informa,
10%
Menos de 5
millones, 14%
Ms de 50
millones, 33%
Ms de 20 a 50
millones, 19%
Ms de 5 a 20
millones, 24%

4.5.1.3 Presupuestos para seguridad informtica en Instituciones Bancarias
El grfico 4.5.9 muestra el monto del presupuesto destinado a la seguridad

informtica por parte del sistema bancario. Se recalca que la mayora de los bancos
invierten ms de 50 millones de colones anuales, siendo las instituciones
encuestadas que ms porcentaje destinan en seguridad informtica. No obstante,
existen algunas entidades bancarias que invierten menos de 5 millones en seguridad
informtica al ao.
Pgina 69
2011
Grfico 4.5.9. Porcentaje de instituciones del sistema bancario con montos del
presupuesto en colones que se destina a seguridad informtica.
Menos de 5
millones, 33%
Ms de 50
millones, 67%

4.5.1.4 Presupuestos para seguridad informtica en Universidades
El grfico 4.5.10 indica la ubicacin de las universidades participantes en la encuesta,

de acuerdo al monto que destinan a la seguridad informtica, destacndose la
existencia de igual proporcin de universidades con montos de 50 millones y con
rangos de 5 a 20 millones de colones destinados para a este tema.
Pgina 70
2011
Grfico 4.5.10. Porcentaje de universidades con montos del presupuesto en colones

que se destina a seguridad informtica.
Ms de 50 No
millones, 33% informa,
33%
Ms de 5 a 20
millones, 33%

4.5.1.5 Presupuestos para seguridad informtica en Instituciones Adscritas y

Otras Instituciones
Los grficos 4.5.11 y 4.5.12 muestran los porcentajes de las instituciones adscritas y
otras instituciones que destinan diferentes montos de su presupuesto para la
seguridad informtica de su institucin. Segn el grfico, el 50% de las instituciones
adscritas invierten menos de 5 millones de colones en seguridad. Y, en el caso de la
mayora de otras instituciones encuestadas, se destinan ms de 50 millones de
colones a seguridad.
Pgina 71
2011
Grfico 4.5.11. Porcentaje de instituciones adscritas con montos del presupuesto en

No informa,
8%
Ms de 20 a 50
millones, 8%
Ms de 50
Menos de 5 millones, 8%
millones, 50%
Ms de 5 a 20
millones, 25%

Grfico 4.5.12. Porcentaje de otras instituciones con montos del presupuesto en

No informa, 7%
Ms de 20 a 50
millones, 7%
Ms de 50
millones, 36% Menos de 5
millones, 21%
Ms de 5 a 20
millones, 29%

Pgina 72
2011
Pgina 73
2011
4.6 Cuadro resumen de resultados segn la encuesta
El cuadro siguiente muestra los resultados generales de la encuesta realizada.
Resultados de la encuesta con porcentajes por Instituciones Pblicas

Eventos informticos registrados entre enero 2010 y enero Porcentaje
2011
Presencia de virus, troyanos, malware, spyware y dems en 79.73%
su red.
Prdida accidental o robo de equipos terminales. 37.838%
Sistemas atacados por parte de hackers. 14.865%
Prdida accidental o robo de los sistemas de respaldo. 12%

Empleados robando informacin digital o permitiendo 9.459%
accesos a dicha informacin sin autorizacin.
Elementos o herramientas informticas implementadas Porcentaje
Proteccin contra spyware, maleware, viruses etc 96%
Muro de Fuego 92%
Polticas de administracin de contraseas y nombres de 88%
usuario.
Sistemas de Deteccin de Intrusos (IDS) 73%
Medidas de Gestin de la seguridad y manejo de Porcentaje
contingencias
Responsable de coordinar las medidas de seguridad 53%
establecidas
Plan de Manejo de Contingencias 47%
Plan de Seguridad 35%
Comunicaciones dentro del Plan de Manejo de Contingencias 34%
Seguimiento del Plan de Seguridad 30%
Sistemas de Seguridad Fsica Porcentaje
Sistemas de alimentacin interrumpida 86%
Filtros, estabilizadores, supresores para calidad de servicio 70%
elctrico
Fuentes de alimentacin redundantes en equipos de red 70%
Control de acceso fsico a dispositivos de red 64%
Monitoreo de consumo y continuidad del servicio elctrico 19%
Presupuesto destinado a seguridad Porcentaje
Ms de 50 millones 34%
Entre 5 y 20 millones 26%
Menos de 5 millones de colones 19%
Entre 20 y 50 millones 11%
Pgina 74
2011
Pgina 75
2011
5. Conclusiones y Recomendaciones
5.1 Conclusiones
1. El 79% de las instituciones pblicas han presentado en sus redes informticas,

la presencia de virus, troyanos, malware y spyware, siendo este evento
informtico el de mayor incidencia, principalmente en las universidades y en
las instituciones del sistema bancario. Adicionalmente, se determin que el
96% de las instituciones pblicas, implementa controles contra spam, spyware,
malware y virus, para proteger sus redes de informacin.
2. El evento informtico que se presenta con menor frecuencia en las

instituciones pblicas (9), corresponde al robo de informacin digital o
accesos sin autorizacin por parte de los empleados pblicos.
Suplementariamente, se determin que el 73% de las instituciones pblicas
tienen implementado en sus redes, Sistemas de Identificacin de Intrusos IDS,
lo que hace suponer que los robos de informacin son bajos, debido a la
utilizacin de esta herramienta.
3. Las instituciones autnomas y las universidades son los entes pblicos que
han presentado mayores problemas de seguridad informtica en el perodo
comprendido entre enero 2010 enero 2011. Los ataques que ms destacan
son: la presencia de virus y la prdida o robos de terminales.
4. Las instituciones del sistema bancario presentan mayores porcentajes en

cuanto al uso de herramientas informticas para salvaguardar la seguridad
fsica y lgica de sus redes de informacin. En buena media, a ello han
contribuido directivas tales como: los lineamientos de cumplimiento
obligatorio emitidos por la SUGEF, en el Reglamento sobre la Gestin de la
Tecnologa de Informacin, publicado en el Diario Oficial La Gaceta 50 del 12
de Marzo del 2009.
Pgina 76
2011
5. Las instituciones autnomas, bancarias y ministerios son los entes donde se

implementan mayores polticas, planes y herramientas relacionados con la
seguridad informtica. En las universidades el uso de estas herramientas es el
que presenta menor implementacin.
6. A nivel pblico, las instituciones del sistema bancario utilizan las mejores
medidas de gestin de la seguridad, comunicaciones y manejo de
contingencias.
7. La medida del seguimiento del plan de seguridad del personal de la empresa,

es la que menos se implementa en las instituciones pblicas (30%). Las
universidades no siguen esta medida.
8. El seguimiento del plan de seguridad es la medida que menos desarrollan las

instituciones pblicas. Solo el 50% de las instituciones bancarias lo
implementa, siendo stas las que obtuvieron mayor porcentaje.
9. En trminos de seguridad fsica, los sistemas de alimentacin ininterrumpida,

son las medidas que mayor incidencia presentan en las instituciones pblicas
(86%). Las universidades y el sistema bancario presentan un 100% en
implementacin de estas medidas. Adems, los sistemas de monitoreo del
consumo y de la continuidad del servicio son los que menos se presentan en
las instituciones pblicas, 19%.
10. El 34% de las instituciones pblicas destinan ms de 50 millones de colones

de su presupuesto anual para seguridad informtica. El 26% destina entre 5 a
20 millones, el 19% menos de 5 millones y el 11% entre 20 y 50 millones de
colones. Las instituciones pblicas que ms presupuesto invierten en
seguridad informtica son las que pertenecen al sistema bancario.
Pgina 77
2011
5. 2 Recomendaciones
1. Se recomienda enviar los resultados obtenidos en este estudio a las

instituciones que formaron parte de la muestra, con el afn de brindar un
panorama general respecto al estado de la Seguridad Informtica en las
instituciones del gobierno. Adicionalmente, se recomienda hacer el
documento de conocimiento pblico, con la finalidad de promover el
anlisis y el dilogo en ste tema.
2. Se recomienda que, anualmente, desde el Viceministerio se recopile y

distribuya informacin referente a buenas prcticas internacionales y
novedades en materia de seguridad informtica, de manera que sirva
como referencia a las instituciones.
3. Se recomienda mantener un monitoreo peridico alrededor de la

seguridad informtica; y hacerlo extensivo al resto de las instituciones
pblicas, tarea que puede ser llevada a cabo en el marco de los establecido
en el Plan Nacional de Desarrollo (PND), donde se encomienda a MICIT
Promover el establecimiento de un centro nacional encargado del
monitoreo, alerta y reaccin ante amenazas a la seguridad informtica.
Todo con la finalidad de contar con informacin actualizada y confiable
sobre las fortalezas y debilidades existentes.
Pgina 78
2011
6. Referencias Bibliogrficas
[1] Asesora Informtica - Diccionario Trminos y definiciones informticas. -

Servicios Profesionales TI - Mxico. Consulta en lnea 18/09/2011. Disponible:
http://www.asesoriainformatica.com/definiciones.htm
[2] Viceministerio de Telecomunicaciones. Informe Tcnico IT-GR-2010-013.

Sistemas de Gestin de Seguridad de la Informacin Estndares, Normas y
recomendaciones. San Jos, Costa Rica., 28 de mayo de 2010
[3] Portal ISO 27001 en espaol. ISO27001 Sistema de Gestin de Seguridad de la

Informacin SGSI. Consulta en lnea 18/09/2011. Disponible:
http://www.iso27000.es/sgsi.html
[4] McAfee. Informe sobre Criminologa Virtual de McAfee Ciberdelincuencia y

ciberley 2009. Consulta en lnea 18/09/2011. Disponible:
http://www.movistar.es/on/io/es/tienda/seguridad-
internet/pdf/informe_sobre_criminologia_virtual.pdf
[5] Contralora General de la Repblica. Resolucin "Normas Tcnicas para la

Gestin y Control de las Tecnologas de Informacin (N-2-2007-CO-DFOE)",
emitida el 7 de junio del 2007 en el diario oficial La Gaceta No. 119 del 21 de
junio 2007. San Jos, Costa Rica.
[6] Viceministerio de Telecomunicaciones. Encuesta: Conexin de las

Instituciones Pblicas a Internet por medio de banda ancha y disposicin de
acceso inalmbrico a Internet para los usuarios de los servicios. San Jos,
Costa Rica. Marzo 2011.
[7] Superintendencia General de Entidades Financieras (SUGEF). Reglamento

sobre la Gestin de la Tecnologa de Informacin. Publicado en el Diario Oficial
La Gaceta 50 del 12 de Marzo del 2009. San Jos, Costa Rica.
Pgina 79
2011
Pgina 80
2011
7. Anexos
7.1 Estndares de seguridad informtica
1. Estndar ISO/IEC 27000

La familia del estndar ISO/IEC 27000 se desarroll en el ao 1999 y se encuentra
basada en el la norma britnica BS-7799 del Instituto Britnico de Estndares (BSI
por sus siglas en ingls, British Standards Institution) publicada en 1995. [2].
En el cuadro 1, se muestra los principales estndares de la familia 27000 y su

descripcin general.
Cuadro 1: Principales estndares de la familia ISO/IEC 27000 relacionadas a la

seguridad de la informacin
Familia ISO/IEC 27000
Estndar: ao Ttulo Descripcin
publicacin
ISO/IEC 27000:2009 Sistemas de gestin de la Define el vocabulario estndar
seguridad de la informacin - empleado en la familia 27000
Informacin general y (definicin de trminos y
vocabulario conceptos)
ISO/IEC 27001:2005 Sistemas de gestin de la Especifica los requisitos a
seguridad de la informacin - cumplir para implantar un
Requisitos SGSI
ISO/IEC 27002:2005 Cdigo de buenas prcticas para Recomendaciones sobre qu
la gestin de seguridad de la medidas tomar para asegurar
informacin los sistemas de informacin de
una organizacin
ISO/IEC 27003:2010 Sistemas de gestin de la Proporciona una gua de
seguridad de la informacin - implementacin de la norma
Directrices ISO/IEC 27001
ISO/IEC 27004:2009 Gestin de la seguridad de la Especifica los criterios de
informacin Medicin medicin y gestin para lograr
la mejora continua y eficacia
de un SGSI
ISO/IEC 27005:2008 Gestin de los riesgos de la Gestin de riesgos de
Pgina 81
2011
seguridad de la informacin seguridad de la informacin

(recomendaciones, mtodos y
tcnicas para evaluacin de
riesgos de seguridad)
ISO/IEC 27006:2007 Requisitos para entidades que Proporciona una gua para el
auditan y certifican los sistemas proceso de acreditacin de las
de gestin de la seguridad de la entidades de certificacin de
informacin los SGSI
ISO/IEC 27007 Gua de auditora de un SGSI, Gua de actuacin para auditar
Pendiente como complemento a lo los SGSI, conforme ISO 190011
publicacin especificado en ISO 19011
ISO/IEC 27008 Gua de auditora de los Proporciona una gua para
Pendiente controles seleccionados en el auditar los controles de
publicacin marco de implantacin de un seguridad de la norma ISO
SGSI. 27002
ISO/IEC 27010 Gua para la gestin de la Proporciona una gua para
Pendiente seguridad de la informacin en sector de las comunicaciones y
publicacin comunicaciones inter- sistemas de interconexin
sectoriales
ISO/IEC 27011:2008 Gua de interpretacin de la Proporciona una gua para la
implementacin y gestin de la gestin de la seguridad de la
seguridad de la informacin en informacin especfica para
organizaciones del sector de telecomunicaciones
telecomunicaciones basada en
ISO/IEC 27002 conocida como
ITU X.1051
ISO/IEC FCD 27031 Gua para continuidad del Proporciona una gua de
Pendiente negocio para las TIC continuidad de negocio en lo
publicacin relativo a tecnologas de la
informacin y comunicaciones
ISO/IEC CD 27032 Gua de ciber-seguridad Gua relativa a la ciber-
Pendiente seguridad
publicacin
ISO/IEC 27033- Gua para la seguridad de las Norma dedicada a la seguridad
1:2009 Redes en redes
ISO/IEC CD 27034-1 Gua de seguridad en Gua de seguridad en
aplicaciones aplicaciones
ISO/IEC CD 27035 Gestin de incidentes en la Proporciona una gua de
Pendiente seguridad de la informacin gestin de incidentes de
Pgina 82
2011
publicacin seguridad de informacin

Fuente: [2].
Entre los estndares de la familia ISO/IEC 27000 ms importantes, se encuentra el

27001 denominado: Sistema de Gestin de la Seguridad de la Informacin-
Requisitos; la cual dicta los requisitos a cumplir para implementar un SGSI, y el
estndar 27002, que es una Gua de buenas prcticas para la gestin de la seguridad
de la informacin. Estos dos estndares se han considerado como base para
establecer un marco de poltica de seguridad en diferentes pases.
A continuacin se detallan cada uno de los estndares ISO/IEC indicados.
1.1 Estndar ISO/IEC 27001

El ISO/IEC 27001 es el concepto central sobre el que se construye el Sistema de
Gestin de Seguridad de la Informacin. Dicho estndar fue publicado en 2005 y
representa un compendio de los criterios de cumplimiento de los diferentes puntos
de control que una organizacin debe seguir para establecer, implementar, operar,
monitorear, mantener, auditar y mejorar un SGSI.
El ISO 27001 est pensado para ser implementado en conjunto con el 27002, de
modo que ste sirva como base en el diseo de un Sistema de Gestin de Seguridad
de la Informacin y el primero funja como certificacin de que el sistema implantado
cumple con las normas requeridas por el estndar.
En el cuadro 2 se muestra la estructura del estndar del ISO/IEC 27001
Cuadro 2: Estructura del estndar ISO/IEC 27001

Estructura documento ISO/IEC 27001
Apartado Descripcin
Introduccin Generalidades e introduccin al mtodo PDCA
(Plan-Do-Check-Act).
Campo de aplicacin Se especifica el objetivo, la aplicacin y el
Pgina 83
2011
tratamiento de exclusiones.
Referencias normativas Normas que sirven de referencia.
Trminos y definiciones Descripcin de los trminos ms usados en la
norma.
Sistema de gestin de la Cmo establecer, implementar, monitorizar,
seguridad de la informacin revisar, mantener y mejorar el SGSI;
requerimientos de documentacin y su control.
Responsabilidad de la En cuanto a compromiso con el SGSI, provisin de
direccin/gerencia recursos y formacin y concienciacin del personal.
Auditoras internas del SGSI Cmo realizar las auditoras internas de control.
Revisin gerencial del SGSI Cmo gestionar el proceso de revisin constante
del SGSI
Mejoramiento del SGSI Mejora continua, acciones correctoras y acciones
preventivas.
Fuente: [2].
1.2 Estndar ISO/IEC 27002

Este estndar es una gua de buenas prcticas, que describe los objetivos de control y
mecanismos recomendables en cuanto a la seguridad de la informacin. El estndar
27002 se public en 2007 y es una actualizacin del estndar ISO 17799, el cual fue
desarrollado en el ao 2005 y basado en la norma britnica BS 7799. El estndar
describe las recomendaciones sobre las medidas necesarias para asegurar los
sistemas de informacin de una organizacin, adems detalla los objetivos de control
(para garantizar la seguridad de la informacin) y especifica los controles
recomendables a implantar.
En el cuadro 3 se muestra la estructura del estndar mencionado.
Cuadro 3: Estructura del estndar ISO/IEC 27002

Estructura documento ISO/IEC 27002
Dominio o rea de control Descripcin
Introduccin Conceptos generales de seguridad de la
informacin y SGSI.
Campo de aplicacin Se especifica el objetivo de la norma.
Pgina 84
2011
Trminos y definiciones Trminos ms usados en la norma.

Estructura del estndar Descripcin de la estructura de la norma.
Evaluacin y tratamiento del Indicaciones sobre cmo evaluar y tratar los
riesgo riesgos de seguridad de la informacin.
Poltica de seguridad Documento de poltica de seguridad y su gestin.
Aspectos organizativos de la Organizacin interna; organizacin externa.
seguridad de la informacin
Gestin de activos Responsabilidad sobre los activos; clasificacin de
la informacin.
Seguridad ligada a los Anterior al empleo; durante el empleo; finalizacin
recursos humanos o cambio de empleo.
Seguridad fsica y ambiental reas seguras; seguridad de los equipos.
Gestin de comunicaciones y Procedimientos y responsabilidades de operacin;
operaciones gestin de servicios de terceras partes;
planificacin y aceptacin del sistema; proteccin
contra software malicioso; backup; gestin de
seguridad de redes; utilizacin de soportes de
informacin; intercambio de informacin y
software; servicios de comercio electrnico;
monitorizacin.
Control de acceso Requisitos de negocio para el control de accesos;
gestin de acceso de usuario; responsabilidades del
usuario; control de acceso en red; control de acceso
al sistema operativo; control de acceso a las
aplicaciones e informaciones; informtica y
conexin mvil.
Adquisicin, desarrollo y Requisitos de seguridad de los sistemas de
mantenimiento de los informacin; procesamiento correcto en
sistemas aplicaciones; controles criptogrficos; seguridad de
los ficheros del sistema; seguridad en los procesos
de desarrollo y soporte; gestin de vulnerabilidades
tcnicas.
Gestin de incidente de Comunicacin de eventos y puntos dbiles de
seguridad de la informacin seguridad de la informacin; gestin de incidentes
y mejoras de seguridad de la informacin.
Gestin de la continuidad del Aspectos de la seguridad de la informacin en la
negocio gestin de continuidad del negocio.
Cumplimiento Con los requisitos legales; polticas de seguridad y
estndares de conformidad y conformidad tcnica;
Pgina 85
2011
consideraciones sobre la auditora de sistemas de

informacin.
Fuente: [2].
2. COBIT
Otros de los modelos internacionales adoptados por organizaciones y empresas
aplicados a la seguridad de la informacin, es el estndar de Objetivos de Control
para la Informacin y Tecnologas Relacionadas (COBIT por sus siglas en ingls,
Control Objectives for Information and related Technology). El modelo es un conjunto
de mejores prcticas para el manejo de la informacin y fue creado por la Asociacin
para la Auditora y Control de Sistemas de Informacin (ISACA por sus siglas en
ingls, Information Systems Audit and Control Association) y el Instituto de
Administracin de las Tecnologas de la informacin (ITGI por sus siglas en ingls, IT
Governance Institute) en 1992. A partir del ao 2000 el desarrollo y las
actualizaciones del modelo COBIT ha sido responsabilidad del ITGI. [2].
El ITGI desarroll la versin COBIT 4.1, la cual es una actualizacin principal en el

estndar internacional, que ofrece un conjunto de prcticas internacionales
aceptadas de forma general, el cual permite a las organizaciones aumentar su valor
en la tecnologa de la informacin y ayuda a reducir los riesgos. Esta versin
contempla de manera integral, el ciclo de vida de la informacin que va desde la
Planeacin y Organizacin hasta el Monitoreo, pasando por la adquisicin,
implementacin y soporte de los sistemas de informacin. [2].
El modelo COBIT se aplica a temas de gobernabilidad, control, aseguramiento,

seguridad y auditoras de las Tecnologas de Informacin y Comunicaciones (TIC).
Prcticamente funciona como un marco de gobierno de la informacin de una
organizacin.
Con un alcance ms amplio que los estndares antes mencionados en el informe, el

COBIT describe los objetivos de control necesarios, para asegurar que la informacin
de la organizacin satisfaga las cuatro reas de enfoque: administracin de riesgos,
Pgina 86
2011
medicin de resultados, alineacin con las estrategias del negocio y la aportacin de

valor.
El Sistema Especfico de Valoracin del Riesgo Institucional SEVRI de la Contralora

General de la Repblica, se basa en el marco de referencia COBIT.
3. ITIL
La OGC (Office of Goverment Commerce) del Gobierno Britnico Unido, ha
desarrollado desde el ao 1980, el modelo de seguridad de la Biblioteca de
Infraestructura de Tecnologas de Informacin conocida como ITIL por sus siglas en
ingls. El ITIL fue utilizado inicialmente como una gua para el Gobierno Britnico,
pero es aplicable a cualquier tipo de organizacin.
La ITIL es un marco de trabajo compuesto de buenas prcticas en materia de la

prestacin de los servicios de tecnologas de la informacin (TI) y la preservacin de
la seguridad de la informacin, con el fin de ayudar a las organizaciones a lograr
calidad y eficiencia en las operaciones de TI. [2].
Los procedimientos del ITIL son independientes del proveedor y han sido
desarrollados para servir como gua que abarque toda infraestructura, desarrollo y
operaciones de TI.
Las libreras que comprende la ITIL se dividen en dos reas principales, la

administracin de los servicios de TI y las Guas Operativas. Adems, incluye los
siguientes apartados: entrega de servicios, soporte de los servicios, administracin
de la seguridad, vinculacin con las funciones de negocio, administracin de las
aplicaciones, administracin de los activos de Software y planeacin para la
implementacin de la administracin del servicio.
Pgina 87
2011
Es prctica usual que se haga uso de ITIL en compaa de algn otro modelo ms
amplio (como COBIT), con el fin de fortalecer la funcin de servicio de TI en la que
ITIL sin duda, cuenta con una mayor profundidad.
4. NIST [2].
El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en ingls, National
Institute of Standards) es una agencia de la Administracin de Tecnologa del
Departamento de Comercio de los Estados Unidos, cuya misin es promover la
innovacin y la competencia industrial en Estados Unidos mediante avances en
mediciones, normas y tecnologa de forma que mejoren la estabilidad econmica.
Unas de las reas que ha desarrollado el NIST es la de tecnologas de la informacin,
principalmente en el nfasis de la seguridad de la informacin, creando la serie 800
en el ao 1990.
La serie 800 del NIST desarrolla una serie de documentos de inters general sobre
Seguridad de la Informacin, y es resultado del esfuerzo de industrias, gobiernos y
organizaciones acadmicas para todos los interesados en la seguridad.
La serie 800 presenta alrededor de 131 documentos publicados desde 1995 hasta la
fecha. Entre los principales contenidos referidos a la seguridad se tienen:
Control de Accesos.
Auditora y Responsabilidades.
Concienciacin y Formacin.
Certificacin, Acreditacin y Evaluacin de la Seguridad.
Gestin de configuraciones.
Planes de Contingencia.
Identificacin y Autenticacin.
Respuesta ante incidentes.
Mantenimiento.
Pgina 88
2011
Proteccin de dispositivos.
Seguridad del Personal.
Proteccin fsica y medioambiental.
Planificacin.
Evaluacin del Riesgo.
Proteccin de Sistemas y Comunicaciones.
Integridad de Sistemas e Informacin.
Adquisicin de Servicios y Sistemas.
5. Normas de la Unin Internacional de Telecomunicaciones (UIT)

En los trabajos de normalizacin, la UIT elabora normas tcnicas (conocidas como
Recomendaciones) que facilitan la utilizacin de los servicios y sistemas de
telecomunicaciones. La UIT desarroll la serie X, la cual describe las normas sobre
redes de datos y comunicacin entre sistemas abiertos y seguridad.
En el cuadro 4, se muestran las principales recomendaciones de las UIT relacionas al

tema de seguridad. Para mayores referencias puede consultar la referencia [2].
Cuadro 4: Principales recomendaciones de la UIT relacionadas a la seguridad de la

informacin. Serie X UIT
UIT Serie X. Redes de datos y comunicacin entre sistemas abiertos y
seguridad.
Rangos Descripcin
Recomendaciones
X.1 X.199 Redes de datos pblicas
X.200 X.299 Interconexin de sistemas abiertos
UIT- X.300 X.399 Interoperacin entre redes
UIT- X.400 X.499 Sistemas de tratamiento de mensajes
UIT- X.500 X.599 Directorio
UIT- X.600 X.699 Gestin de redes de interconexin de sistemas abiertos y
aspectos de sistemas
UIT- X.700 X.799 Gestin de interconexin de sistemas abiertos
UIT- X.800 X.849 Seguridad
Pgina 89
2011
UIT- X.850 X.899 Aplicaciones de interconexin de sistemas abiertos

UIT- X.900 X.999 Procesamiento distribuido abierto
UIT- X.1000 Informacin y seguridad de la red
X.1099
UIT- X.1100 Aplicaciones de seguridad y servicios
X.1199
UIT- X.1200 Seguridad del ciberespacio
X.1299
UIT- X.1300 Aplicaciones de seguridad y servicios
X.1399
UIT- X.1500 Intercambio de informacin de ciberespacio
X.1598
Fuente: [2].
Pgina 90
2011
7.2 Instituciones Participantes

Academia Nacional de Ciencias (ANC) Instituto Costarricense de Ferrocarril (INCOFER) Ministerio de Vivienda
Asamblea Legislativa. Instituto Costarricense de Puertos del Pacfico Procuradura General de la Repblica
(INCOP) (PGR)
Autoridad Reguladora de los Servicios Instituto Costarricense de Turismo (ICT) Poder Judicial
Pblicos (ARESEP)
Banco Central de Costa Rica( BCCR) Instituto de Desarrollo Agrario (IDA) Radiogrfica Costarricense S.A.
Banco Crdito Agrcola de Cartago Instituto de Fomento y Asesora Municipal (IFAM) Refinadora Costarricense de Petrleo
(BCAC) S.A. (RECOPE)
Banco de Costa Rica (BCR) Instituto Mixto de Ayuda Social (IMAS) Patronato Nacional de Infancia (PANI)
Banco Hipotecario de la Vivienda Instituto Nacional de Aprendizaje (INA) Tribunal Supremo de Elecciones (TSE)
(BANHVI)
Banco Nacional de Costa Rica (BNCR) Instituto Nacional de Estadsticas y Censo (INEC) Secretara Tcnica Nacional Ambiental
(SETENA)
Banco Popular y de Desarrollo Comunal Instituto Nacional de Fomento Cooperativo Sistema Nacional de las reas de
(BPDC) (INFOCOOP) Conservacin (SINAC)
Caja Costarricense de Seguro Social Instituto Nacional de las Mujeres (INAMU) Sistema Nacional de Bibliotecas
(CCSS) (SINABI)
Compaa Nacional de Fuerza y Luz S.A. Instituto Nacional de Seguros (INS) Sistema Nacional de Radio y Televisin
(CNFL) S.A. (SINART)
Consejo de Seguridad Vial (COSEVI) Instituto Nacional de Vivienda y Urbanismo (INVU) Universidad Estatal a Distancia (UNED)
Consejo de Transporte Pblico (CTP) Instituto Tecnolgico de Costa Rica (ITCR) Universidad Nacional (UNA)
Consejo Nacional de Concesiones (CNC) Junta Administradora de Servicios Elctricos de Instituciones sin respuesta:
Cartago (JASEC) a. Consejo de la Persona Joven
Consejo Nacional de la Persona Adulta Ministerio de Agricultura y Ganadera (CPJ)
Mayor (CONAPAM) b. Comisin Nacional de
Consejo Nacional de la Produccin Ministerio de Ambiente, Energa y Prevencin de Riesgos y
(CNP) Telecomunicaciones ( MINAET) Atencin de Emergencias
Consejo Nacional de Rectores Ministerio de Ciencia Tecnologa (MICIT) (CNE)
(CONARE) c. Universidad de Costa Rica
Consejo Nacional de Rehabilitacin y Ministerio de Comercio Exterior (COMEX) (UCR)
Educacin Especial (CNREE)
Consejo Nacional de Vialidad (CONAVI) Ministerio de Cultura y Juventud (MCJ)
Consejo Nacional para Investigaciones Ministerio de Economa, Industria y Comercio
Cientficas y Tecnolgicas (CONICT) (MEIC)
Contralora General de la Repblica Ministerio de Educacin Pblica (MEP)
(CGR)
Defensora de los Habitantes Ministerio de Justicia y Paz
Direccin General de Aviacin Civil Ministerio de Hacienda
(CETAC)
Direccin General de Migracin y Ministerio Obras Pblicas y Transportes (MOPT)
Extranjera (DGME)
Direccin General del Archivo Nacional Ministerio de Planificacin Nacional y Poltica
Econmica (MIDEPLAN)
Empresa de Servicios Pblicos de Ministerio de la Presidencia
Heredia S.A. (ESPH)
Instituto Costarricense de Acueductos y Ministerio de Trabajo y Seguridad Social (MTSS)
Alcantarillados (AyA)
Instituto Costarricense de Electricidad Ministerio de Relaciones Exteriores y Culto (MREC)
(ICE)
Instituto Costarricense del Deporte Ministerio de Salud
(ICODER)
Instituto Costarricense de Pesca y Ministerio de Seguridad Pblica. (MSP)
Acuicultura (INCOPESCA)
Pgina 91

Seguridad Informatica

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Seguridad Informatica

Загружено:

Авторское право:

Доступные форматы

Estado de Seguridad Informtica en el sector pblico costarricense

Marcos Arroyo, Director de Planeacin

Eldier Moya, Gerencia de Redes

Alejandro Berrocal V, Gerencia de Redes

Ministerio de Ambiente, Energa y Telecomunicaciones. (Octubre, 2011).

Glosario de trminos [1] ........................................................................................... 4

Glosario de trminos [1]

Virus: Programa informtico que se reproduce a s mismo, indeseable y

Troyano: Programa informtico cuya ejecucin tiene unos efectos imprevistos y,

Malware: Programa o parte de un programa que tiene un efecto malicioso en la

Hacker: Nombre que se da en el mbito informtico a un usuario con avanzados

Spam: Correo electrnico no solicitado y enviado repetidamente. Es una forma de

Firewall: [Pared, muro o barrera de fuego, cortafuegos]. Programa o equipo que

Polticas de Uso de Red: Directrices con el propsito de contribuir a proteger la red

Poltica de Administracin de Contraseas: Serie de normas y protocolos a seguir

Administracin Automtica de la Seguridad: Se conocen tambin como Sistemas

Plan de Seguridad: Conjunto de decisiones que cubren la seguridad de los sistemas

Plan de Manejo de Contingencias: Conjunto de procedimientos que permitan

Sistema de Detencin de Intrusos: Sistema compuesto generalmente de una

Tecnologas de Informacin y Telecomunicaciones TIC: Se refiere a todos los

El Viceministerio de Telecomunicaciones elabor el primer Plan Nacional de

Uno de los ejes contenidos en el mencionado plan, es el de Telecomunicaciones. En

A propsito de lo sealado en el Plan, el Viceministerio de Telecomunicaciones

En el marco terico que conforma el documento se brinda una definicin del

El documento se encuentra dividido en cinco partes. La primera se refiere a los

1.1.1 Objetivo General

Diagnosticar el estado de la Seguridad Informtica, en las instituciones pblicas

1.1.2 Objetivos Especficos

Identificar el ataque o incidente informtico que ocurre con mayor frecuencia en

2.1 Seguridad de la Informacin

La seguridad informtica es una disciplina que tiene como principios bsicos

Es importante considerar la seguridad informtica tanto desde el punto de vista fsico

2.2 Importancia de seguridad informtica en las instituciones pblicas

Actualmente las entidades del Estado, instituciones financieras, centros de

En pases de Latinoamrica como Per, Mxico y Argentina se estn elaborando

-NTP- ISO/IEC 17799: 2004 EDI del Per

En Costa Rica, el Instituto de Normas Tcnicas de Costa Rica (INTECO) ha realizado la

Por otra parte, las organizaciones implementan Sistemas para la Gestin de

Cabe mencionar que proteger la informacin confidencial de una institucin o

Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el

Finalmente, en Costa Rica, la Contralora General de la Repblica se ha encargado de

2.3 Estndares de seguridad informtica

Con el aumento mundial de la delincuencia informtica, la cual pone en riesgo toda la

Estos mecanismos comprenden un conjunto de normas, estndares o regulaciones,

2.3.1 Organizaciones de estndares de seguridad

Como se mencion anteriormente, existen organizaciones o entes internacionales

referencias, modelos de auditora y mtricas de cumplimiento propios. Entre las

2.4 Contralora General de la Repblica

Dicha resolucin, en el artculo 3 establece lo siguiente:

"Esta normativa es de acatamiento obligatorio para la Contralora General de la

La norma N-2-2007-CO-DFOE seala una serie de requerimientos generales de

procesos informticos. La norma se basa en algunos elementos de los estndares

Cuadro 1: Estructura de la Norma N-2-2007-CO-DFOE de la CGR

5.1 Seguimiento de los procesos de TI

De acuerdo a lo estipulado en el numeral 1.4, donde se establece que la institucin

A continuacin se describe la metodologa utilizada para recolectar la informacin

El proceso de investigacin conllev el realizar la consulta a 77 instituciones

Para la seleccin de las instituciones que participaron en la investigacin, se busc

Grfico 3.1. Porcentaje de Respuesta segn tipo de institucin.

Sistema Bancario 100%

0% 20% 40% 60% 80% 100%

Seguidamente se agrega la ficha tcnica de la encuesta que se realiz a las

Producto: Encuesta a Instituciones Pblicas del Sector Costarricense

Grfico 3.2. Porcentaje de participacin por institucin que particip en la encuesta.