Untitled

DECLARACIÓN DE RESPONSABILIDAD Y AUTORIZACIÓN
DE USO DEL TRABAJO DE GRADO
Nosotros Kelly Bermúdez Molina y Rafael Bailón Sánchez autorizamos a la

Universidad Politécnica Salesiana la publicación total o parcial de este trabajo de
grado y su reproducción sin fines de lucro.
Además declaramos que los conceptos y análisis desarrollados y las conclusiones del
presente trabajo son de exclusiva responsabilidad de los autores.
Srta. Kelly Bermúdez Molina Sr. Edber Bailón Sánchez

CC: 0930063540 CC: 0915121321
I
DEDICATORIA
A Dios, porque tanto me ama que me dio pilares fuertes y sólidos para que pueda
construir mi base de vida, por ser mi fuerza espiritual, mi guía, por regalarme cada
día el milagro de la vida y permitir así luchar por mis sueños.
A mi mami, por estar en todas conmigo, por ser incondicional y nunca bajar los
brazos, a ella le dedico mi esfuerzo, mi dedicación, mis malas noches, mis logros y
todo mi trabajo.
A mi papá por su apoyo, por su comprensión, por estar conmigo cuando sentía
miedo, por las noches de cuentos, y porque a pesar de la distancia sé que me ama
tanto como yo lo amo a él.
A mi gran amor, por ser mí complemento ideal, porque durante todos estos años no
pude encontrar mejor compañero, amigo, profesional y novio que él.
A mis abuelitos que están en el cielo y a los que están aún con vida, porque con sus
enseñanzas, amor, palabras y abrazos oportunos me hicieron sentir siempre
respaldada.
Y finalmente a mi segundo papá porque su apoyo, y su disposición en ayudarme

siempre, sus acciones me permitieron darme cuenta que me había convertido en su
hija de corazón.
A todos ellos que son y serán mis pilares durante toda mi vida, les dedico este logro,
porque cada uno de ellos supo quererme y apoyarme a su manera. Gracias por todos
ellos porque creyeron en mí, incluso cuando ni yo misma lo hice. Los amo y sé que
ustedes lo saben.
Kelly Bermúdez Molina
II
DEDICATORIA
Para obtener grandes resultados, hay que realizar grandes sacrificios.
El tiempo es algo que no podemos retomar de nuestras vidas, y lo que a menudo no

se considera importante.
A lo largo de varios años donde obtuve los fundamentos para lograr muchos
objetivos, entre unos de esos el trabajo aquí presente, también se realizó con tiempo
y apoyo de los tres soportes principales en mi vida, gracias por el inmenso sacrificio
que realizaron por mí.
Agradezco a Dios por darme las oportunidades, salud y sabiduría para tomar
decisiones.
A mi madre por acompañarme, cuidarme y comprenderme en todo momento
A mi hermana por mostrarme que estudiando se pueden conseguir varias metas y ser
felices por aquello.
A mi mejor amiga Gaby, que juntos lograremos lo inalcanzable en nuestras vidas.
A mi familia en general por el apoyo incondicional.
Edber Rafael Bailón Sánchez
III
AGRADECIMIENTO
Agradecemos a todas las personas que directa o indirectamente colaboraron para la

elaboración de la presente tesis, entre las cuales podemos nombrar:
Ing. Soledad Camposano, Gerente de Sistemas de la empresa Credigestión, por la

apertura para el desarrollo de la investigación dentro de la empresa.
A la Universidad Politécnica Salesiana por el nivel de educación implementada en la

institución, que permite formar profesionales con valores.
A los diferentes profesores que durante todos estos años nos impartieron sus
valores, experiencias y conocimientos, permitiéndonos crecer en lo profesional y en
lo personal.
Y a nuestro director de tesis, el Ing. Joffre León Veas, por su ayuda en el aporte con
sus conocimientos a lo largo del desarrollo del trabajo de tesis.
Kelly Gabriela Bermúdez Molina

Edber Rafael Bailón Sánchez
IV
ÍNDICE GENERAL
CAPÍTULO 1: PLANTEAMIENTO DEL PROBLEMA

1.1. Enunciado del Problema 3
1.1.1. Factores Estructurales 3
1.1.2. Factores Intermedios 5
1.1.3 Factores Inmediatos 5
1.2. Formulación del Problema 6
1.2.1. Sistematización del problema de investigación 6
1.3. Objetivos de la Investigación 7
1.3.1. Objetivo General 7
1.3.2. Objetivos Específicos 7
1.4. Justificación 8
CAPÍTULO 2: MARCO TEÓRICO
2.1. Antecedentes de la Investigación 9
2.1.1. Marco Referencial 10
2.1.1.1. Norma ISO/IEC 27001 10
2.1.1.2. Beneficio de la Norma ISO/IEC 27001 10
2.1.1.3. Dominios de seguridad de la ISO/IEC 27001 10
2.1.1.4. Sistema de gestión de seguridad de la información 11
2.1.1.5. Seguridad de la Información 11
2.1.1.6. Seguridad Informática 11
2.1.1.7. Comité de Gestión de la seguridad de la información 11
2.1.1.8. Manual de Políticas de Seguridad de la Información 12
2.1.1.9. Propietario de la Información 12
2.1.1.10. Confidencialidad de la información 12
2.1.1.11. Integridad de la información 12
2.1.1.12. Disponibilidad de la información 12
2.1.1.13. No repudio de la información 12
2.1.1.14. Autenticación 12
2.1.1.15. Autorización de la información 13
V
2.1.1.16. Activo de Información 13
2.1.1.17. Tecnología de Información 13
2.1.1.18. Incidente de seguridad de la información 13
2.1.1.19. Evento de seguridad de la Información 13
2.1.1.20. Riesgo Residual 13
2.1.1.21. Aceptación de riesgo 14
2.1.1.22. Análisis de Riesgo 14
2.1.1.23. Valuación del riesgo 14
2.1.1.24. Evaluación del riesgo 14
2.1.1.25. Gestión del riesgo 14
2.1.1.26. Tratamiento del riesgo 14
2.1.1.27. Delitos Informáticos 14
2.1.1.28. Hackers 15
2.1.1.29. Crackers 15
2.1.1.30. Virus Informático 15
2.1.1.31. Antivirus 15
2.1.1.32. Spam 15
2.1.1.33. Anti-spam 15
2.1.1.34. Antispyware 15
2.1.1.35. Firewall 16
2.1.1.36. Falsificación de información por terceros 16
2.1.1.37. Capacitación de seguridad de la información 16
2.1.2. Marco Teórico 16
2.2. Fundamentación legal 17
2.3. Formulación de Hipótesis 17
2.3.1. Hipótesis General 17
2.3.2. Hipótesis Específicas 17
2.4. Señalamiento de variables 18
2.4.1. Variables Independientes 18
2.4.2. Variables Dependientes 19
VI
CAPÍTULO 3: MARCO METODOLÓGICO
3.1. Modalidad básica de la investigación 20
3.2. Tipo de Investigación 20
3.3. Población y Muestra 21
3.3.1. El Universo 21
3.3.2. Muestra 21
3.4. Operacionalización de variables e indicadores 22
3.5. Plan de recolección de información 24
3.6. Plan de procesamiento de la información 24
CAPÍTULO 4: ANÁLISIS Y RESULTADOS
4.1. Análisis de los Resultados 26
Responsabilidad de la ejecución de los controles correctivos y
4.1.1. 26
preventivos
4.1.2. Planificación de entrevistas 26
4.1.3. Cuestionario de preguntas a realizar en las entrevistas y encuestas 27
4.1.4. Situación actual 29
Matriz de hallazgos y recomendaciones basadas en la situación actual
4.1.5. 44
de la empresa
4.1.6. Metodología de Análisis de riesgos 74
4.1.6.1. Fases de ejecución del análisis de riesgos de MAGERIT 74
4.1.7. Análisis de Riesgo 75
4.1.7.1. Activos de Información 75
4.1.7.1.1. Propietarios de la Información 75
4.1.7.1.2. Identificación de activos de Información 75
Amenazas, vulnerabilidades, salvaguardas, impacto y riesgo residual
4.1.7.2. 82
de los activos de información
4.2. Interpretación de Datos 91
4.3. Verificación de Hipótesis 130
CAPÍTULO 5: CONCLUSIONES Y RECOMENDACIONES
5.1. Conclusiones 135
5.2. Recomendaciones 135
CAPÍTULO 6: PROPUESTA
6.1. Datos Informativos de la empresa 137
VII
6.2. Antecedentes de la propuesta 138
6.3. Justificación de la propuesta 139
6.4. Objetivos de la propuesta 139
6.4.1. Objetivo General 139
6.4.2. Objetivos Específicos 140
6.5. Análisis de factibilidad 140
6.5.1. Capacidad Económica 140
6.5.2. Capacidad Operativa 140
6.5.3. Capacidad Técnica 141
6.5.4. Disposición del Personal 141
6.6. Fundamentación 141
6.7. Metodología 142
6.8. Administración 146
6.8.1. Recurso Humano 146
6.8.2. Cronograma 147
VIII
ÍNDICE DE TABLAS
1 Matriz de Operacionalización de Variables 22

2 Cuadro de Planificación de entrevistas 27
3 Control basado en la ISO 27001 Prioridad 44
4 Matriz de recomendaciones basadas en la situación actual 45
5 Cuadro de clasificación de valores de activos - Confidencialidad 76
6 Cuadro de clasificación de valores de activos Integridad 76
7 Cuadro de clasificación de valores de activos - Disponibilidad 77
8 Matriz de Activos de Información 78
9 Responsables de Activos de Información ISISYSTEM 81
10 Responsables de Activos de Información Financiero 81
11 Valores de criticidad 82
12 Valores de la probabilidad 82
13 Valores del impacto 82
14 Valores del Riesgo 82
Matriz de Amenazas, vulnerabilidades, salvaguardas, impacto y riesgo
15 83
residual
16 Tabla de riesgos 90
17 Existencia de procedimientos establecidos 91
Apreciación sobre la existencia del responsable de la seguridad informática e
18 92
información
Apreciación de la pertenencia de la responsabilidad de la seguridad de la
19 94
información
20 Capacitaciones recibidas por los funcionarios 95
21 Seguridad de contraseñas de los funcionarios 96
22 Incidentes de seguridad acontecidos 98
23 Bloqueo automático de los computadores 99
24 Almacenaje y etiquetado de documentos 100
Notificaciones realizadas a quien los funcionarios consideran como
25 101
responsable de la seguridad
26 Aprobación de los funcionarios respecto a implementar controles de seguridad 103
27 Catalogación de documentos según los funcionarios 104
28 Existencia de controles o mecanismos de accesos según los funcionarios 105
IX
Apreciación sobre la existencia del responsable de la seguridad informática e
29 106
información.
Uso de herramientas de seguridad de los sistemas de procesamiento de la
30 108
información
Uso de herramientas de seguridad en los equipos de cómputo de los
31 109
funcionarios
Uso de Software de prevención de amenazas en los equipos de procesamiento
32 110
de la información
33 Mecanismos de autenticación utilizados en la empresa 111
Existencia de mantenimientos periódicos en los sistemas de procesamiento de
34 113
la información
Existencia de planes de mantenimientos en los sistemas de procesamiento de
35 114
la información
36 Numero de computadores destinados a los funcionarios. 115
Áreas especiales determinadas para albergar los sistemas de procesamiento de
37 116
la información.
Existencia de controles sobre las redes de comunicación inalámbrica
38 117
instaladas en la empresa
39 Procedimiento de respaldos de información definidos por el área de sistemas 118
40 Frecuencia de ejecución de los planes de respaldo de información 120
Mecanismos de seguridad automáticos instalados en los equipos de cómputo
41 121
de los funcionarios
42 Disponibilidad de equipos que provean energía ininterrumpida 122
43 Consideración de los funcionarios de sistemas sobre los servicios críticos 123
44 Disposición de los respaldos de la información 125
45 Incidentes de seguridad reportados y registrados 126
46 Criterios de acceso hacia los recursos de red 127
47 Monitoreo de los sistemas de procesamiento de la información 128
48 Planes de contingencia establecidos 130
49 Cronograma de Actividades del plan de Seguridad de la información 147
X
ÍNDICE DE FIGURAS
1 Cartera Recuperada desde el 2000 al 2013 3

2 Clientes Verificados y Calificados desde el 1999 al 2013 3
3 Estructura de funcionarios a nivel nacional 4
Representación de la media del riesgo actual de los activos de
4 90
información
Respuestas obtenidas de los funcionarios sobre la existencia de
5 91
procedimientos
Respuestas obtenidas de los funcionarios sobre la existencia del
6 93
responsable de la seguridad informática e información.
Respuestas obtenidas de los funcionarios respecto a quien consideran
7 94
como responsable de la información
Respuestas obtenidas de los funcionarios respecto a las capacitaciones
8 95
recibidas referentes a la seguridad de la información.
Respuestas obtenidas de los funcionarios respecto a las contraseñas
9 97
utilizadas en los sistemas de procesamiento de la información.
Respuestas obtenidas de los funcionarios respecto a los incidentes de
10 98
seguridad acontecidos
Respuestas obtenidas de los funcionarios respecto al bloqueo automático
11 99
de los computadores
Respuestas obtenidas de los funcionarios respecto al almacenaje y
12 100
etiquetado de documentos
Notificaciones de los funcionarios de los incidentes ocurridos a quien
13 102
consideran como responsable de la seguridad.
Aprobación de aplicación de medidas de control de acuerdo a los
14 103
funcionarios.
Consideración de los funcionarios acerca de los documentos que deben
15 104
ser catalogados.
Consideración de los funcionarios sobre mecanismos de acceso
16 105
instalados en la empresa.
Consideración de los funcionarios sobre mecanismos de acceso
17 107
instalados en la empresa.
Tipos de herramienta instalados para el control de la seguridad de los
18 108
sistemas de procesamiento de la información.
19 Herramientas instaladas en los equipos de cómputo de los funcionarios. 109
Herramientas de software instaladas en los equipos de procesamiento de
20 110
la información.
XI
Uso de mecanismos de autenticación utilizados en los sistemas de
21 112
procesamiento de la información.
Mantenimiento realizado en los sistemas de procesamiento de la
22 113
información.
23 Planes de mantenimiento que se realizan sobre los equipos. 114
Número de equipos de acuerdo al inventario o registros mantenidos por
24 115
el área de sistemas.
Existencia de áreas restringidas donde se alojan los sistemas de
25 116
procesamiento de la información.
26 Restricciones de acceso en los sistemas de comunicación inalámbricos 118
27 Existencia de procedimientos de respaldo de la información 119
28 Ejecución de los planes de respaldo. 120
Existencia de mecanismos de seguridad en los equipos de cómputo de los
29 121
funcionarios de la empresa.
30 Existencia del soporte energético en caso de corte de la electricidad. 122
Consideración de la importancia de los activos controlados por el área de
31 124
sistemas.
Lugares donde se disponen los respaldos de la información realizados
32 125
por el área de sistemas.
33 Registros de los incidentes de seguridad reportados al área de sistemas. 126
34 Registros de los incidentes de seguridad reportados al área de sistemas. 127
35 Monitoreo realizado a los sistemas de procesamiento. 129
Conocimiento de los funcionarios de sistemas acerca de los planes de
36 130
contingencia definidos.
37 Ciclo Integral de Crédito 137
XII
ÍNDICE DE ANEXOS
1 Encuesta acerca de Seguridad Informática dirigida al área de Sistemas 154

2 Entrevista dirigidas al Departamento de Sistemas 157
3 Entrevista dirigida para las áreas de Credigestión 161
4 Encuesta acerca de Seguridad Informática dirigida al personal operativo 163
XIII
RESUMEN
Mediante la elaboración del análisis de seguridad de la información y seguridad

informática basada en la norma ISO/IEC 27001, el presente trabajo tuvo como
finalidad conocer las vulnerabilidades a las que está expuesta la información por la
falta de aplicación de controles de seguridad.
El análisis estuvo dirigido a una empresa financiera, teniendo como objetivo

principal el estudio de seguridad en los procesos críticos. A través de reuniones,
revisión de documentación, consultas, observación, encuestas y ejecución de
entrevistas con directivos que poseen un amplio conocimiento del negocio, se logró
identificar los riesgos actuales a los que se exponen los datos tanto físicos, lógicos y
sistemas de procesamiento de información.
La ejecución del análisis de riesgos da a conocer el nivel de impacto que tendría la

ocurrencia de las amenazas identificadas en cada activo de la información que
pueden afectar datos relevantes utilizados o resultantes de la ejecución de las
actividades propias del negocio.
Los resultados obtenidos dan a conocer que, para minimizar los riesgos existentes, es
necesario implementar controles de seguridad, lo cual ayuda a fortalecer tres
aspectos importantes: la confidencialidad, integridad y disponibilidad de la
información. Pero los resultados también muestran la importancia del compromiso y
trabajo en equipo que debe tener la empresa.
XIV
ABSTRACT
By developing the analysis of information security and information security based on

ISO / IEC 27001, this study was established on identify the vulnerabilities which
information is exposed because of the lack of implementation of security controls.
The analysis was aimed to a financial company, having as main objective the study
of safety risk over critical processes. Through meetings, documentation review,
consultations, observation, surveys and execution of interviews with managers who
have extensive knowledge of the business, it was possible to identify the current
risks, which physical data, logic and processing systems are exposed to.
The implementation of risk analysis discloses the level of impact that the occurrence
of the threats identified in each asset of the relevant information being used or as a
result of the executions on business activities.
The results disclosed that, to minimize the risks, it is necessary to implement security
controls, which helps to strengthen three important aspects: confidentiality, integrity
and availability of information. But the results also show the importance of
commitment and teamwork that the company should have.
XV
INTRODUCCIÓN
En la actualidad toda empresa se basa en la información para tomar decisiones que

permitan la continuidad del negocio, transformándose así en un activo importante
para las organizaciones, siendo necesario protegerla ante cualquier evento que puede
causar corrupción en los datos. Dada la importancia de la información,
organizaciones internacionales de estandarización han elaborado normas de buenas
prácticas para el resguardo y buen uso de la información y de los activos en general.
El presente trabajo de Análisis en Seguridad Informática y Seguridad de la

Información basado en la Norma ISO/IEC 27001, está dirigido hacia la empresa
Credigestión S.A; en el afán de aplicar mejores prácticas en la gestión de la
seguridad de la información, se prioriza como objetivo general el análisis de
seguridad en los procesos críticos de la empresa.
El desarrollo del tema de tesis se formuló bajo las directrices que se especifican en la
norma ISO/IEC 27001 para la gestión de seguridad de la información, teniendo el
objetivo de disminuir el riesgo identificado, mediante procedimientos establecidos
sistemáticamente.
En el primer capítulo se encuentra detallado los principales factores que motivaron a

la realización de este análisis. En el segundo capítulo se describe el diccionario de
palabras que ayudan a comprender el significado de cada término utilizado, así como
las situaciones que han ocurrido en referencia a la seguridad de la información.
Las modalidades y tipos de investigación utilizados se describen en el tercer capítulo,

en el cual también se definió el número de funcionarios que aportaron en la
investigación. En esta sección se destaca los mecanismos que se utilizan para la
recolección y procesamiento de la información.
Uno de los capítulos más importantes de esta investigación consistió en la ejecución

del análisis de la situación actual y el análisis de riesgo en el que se determinó las
amenazas a las que están expuestos los activos de la empresa. Se ha empleado una
metodología de gestión de riesgos que puede ser aplicada a cualquier empresa sin
1
importar el giro de negocio que posea, pues se basa en la identificación de los activos
de información propios de la empresa.
En este estudio se presentan la matriz de activos, matriz de riesgo calculado en base a

las vulnerabilidades encontradas, el impacto y probabilidad de ocurrencia de las
áreas críticas de la empresa nombradas así debido a la importancia que desempeña
cada entidad en los procesos de la empresa, donde el flujo de la información es
constante y se requiere la disponibilidad de la información inmediata. Todas las
conclusiones y recomendaciones se basan en lo anteriormente descrito.
Finalmente se propone una metodología de implementación, tomando en cuenta lo

indicado en la norma ISO/IEC 27001 y de acuerdo a la realidad de aplicación dentro
de la empresa a la cual se dirigió la investigación.
2
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1. Enunciado del Problema
1.1.1. Factores Estructurales
Credigestión es una empresa de mediana escala en el mercado financiero, tiene como

proceso crítico del negocio la gestión de crédito y cobranza de cartera, siendo su
objetivo facilitar el proceso integral del crédito para sus clientes. En los últimos años
la empresa ha crecido considerablemente, ganando competencia y experiencia, de tal
forma que ha obtenido una destacable presencia local.
Figura 1. Cartera Recuperada desde el 2000 al 2013

(Credigestión, 2013)
Figura 2. Clientes Verificados y Calificados desde el 1999 al 2013

3
Credigestión lleva a cabo sus operaciones en las ciudades de Guayaquil (matriz
principal) y Quito (Sucursal), está conformada por 230 empleados a nivel nacional,
los cuales de dividen de la siguiente manera:
Presidente ejecutivo, Vicepresidente ejecutivo, Vicepresidente de

tecnologías de información, Subgerente de operaciones, Gerente de
sucursal de Quito.
Doce personas entre Supervisores, Recepcionistas, Cajeras, Personal de
apoyo
204 son personal operativo.
Figura 3. Estructura de funcionarios a nivel nacional

La gestión de las operaciones que realiza Credigestión se llevan a cabo a través de

medios automatizados, tanto el flujo de registro de transacciones como información
propia de los clientes. Al igual que las empresas de prestación de servicios
financieros, Credigestión contribuyen al flujo de capital obteniendo su principal
fuente generadora de recursos a través del dinero debido a los movimientos y
transacciones que se efectúen del mismo. Juegan un papel relevante en la economía
local ya que son facilitadoras de capital inmediato que contribuyen al impulso de
crecimiento o inversión, dando origen al intercambio comercial.
A pesar de que la empresa se mantiene estable en sus operaciones, nace la necesidad

de empezar a gestionar controles de seguridad, para poder garantizar que la
información no será alterada o manejada por personas no autorizadas, actualmente
no cuenta con un área de Seguridad Informática por lo que no han realizado ninguna
acción para empezar a mitigar los temas relacionados con seguridad informática y
seguridad de la información.
4
La falta de lineamientos de seguridad no permite tener el control adecuado del
manejo y los accesos a los sistemas de procesamiento de información, abriendo la
posibilidad de que la información manejada sea utilizada para fines que perjudiquen
a la empresa. De continuar bajo la misma línea de gestión con respecto a la
seguridad, la empresa puede ser susceptible a la ocurrencia de cualquier incidente de
seguridad que perjudique las operaciones del negocio.
1.1.2. Factores Intermedios
Durante el último año se han presentado incidentes de seguridad que han generado
molestias en los funcionarios y han sido causa de interrupciones de las actividades
que se desarrollan dentro de la empresa, por esta razón se necesita implementar
lineamientos de seguridad en las áreas donde se desarrollan los procesos críticos del
negocio, de tal forma que puedan garantizar la confidencialidad, disponibilidad e
integridad de la información, mitigando riesgos que puedan ocasionar retrasos en las
actividades o incluso la ocurrencia de incidentes graves que contribuyan a la pérdida
de clientes o dinero.
1.1.3 Factores Inmediatos
El resultado del análisis basado en la norma ISO/IEC 27001, pretende dar a conocer
lineamientos de seguridad para prevenir y mitigar vulnerabilidades existentes,
proporcionándole a Credigestión controles de seguridad que puedan aplicarse
dentro de cada área, en especial de las áreas críticas del negocio.
La documentación resultante guiará a la empresa para que empiece a alinearse en

temas de seguridad, ocasionando que se integre a su estructura organizacional un
área o persona responsable que se encargue de la seguridad de la información, así
como la existencia de una política de seguridad de la información donde se detalle
los roles, responsabilidades y controles que se deben aplicar tomando en cuenta
desde la seguridad en los sistemas de información hasta la concienciación de los
funcionarios en el manejo de la información.
5
1.2. Formulación del Problema
¿Cómo se podría minimizar los riesgos de pérdida, daño o alteración de la

información administrada dentro de la empresa Credigestión?
1.2.1. Sistematización del problema de investigación
¿De qué forma se podría garantizar que la información solo sea accedida por
personas autorizadas?
¿De qué forma se podría realizar concienciaciones al personal acerca de temas de

seguridad de la información?
¿De qué forma se podría salvaguardar la información tanto física como lógica de la
empresa?
¿Cómo se podría garantizar que la información es manejada de forma adecuada

dentro de la organización?
¿De qué forma se podría proteger adecuadamente los activos organizacionales?
¿Cómo se podría asegurar que los funcionarios, contratistas y terceros cumplan con
sus responsabilidades tomando en cuenta la seguridad de la información?
¿Cómo se podría asegurar que los procedimientos para la operación de los medios de
procesamiento de información son los adecuados?
¿De qué forma se podría garantizar la integridad y disponibilidad de los servicios de

procesamiento de información y comunicaciones?
¿Qué acciones se deberían tomar ante la ocurrencia un incidente de seguridad en los

sistemas de procesamiento de información y comunicaciones?
6
¿De qué forma se podría garantizar que el proceso de desarrollo del software y
soporte sea seguro?
1.3. Objetivos de la Investigación
1.3.1. Objetivo General
Analizar los procesos críticos de Credigestión respecto a las gestiones de seguridad

adecuadas para garantizar la confidencialidad, integridad y disponibilidad de la
información, mediante la formulación recomendaciones de seguridad y controles
basados en la Norma ISO/IEC 27001.
1.3.2. Objetivos Específicos
Conocer la situación actual referente a seguridad informática y seguridad de

la información dentro de la empresa.
Analizar vulnerabilidades de seguridad que pudiesen existir en el manejo de

información y en los sistemas de procesamiento de información de la
empresa.
Identificar posibles riesgos que afecten a la continuidad del negocio.
Determinar salvaguardas que permitan fortalecer los procesos críticos de la

empresa para que se cumplan los criterios básicos de seguridad.
Proveer lineamientos de seguridad para garantizar la confidencialidad,

disponibilidad e integridad de la información.
Establecer mecanismos de sensibilización para el personal sobre temas

Seguridad de la información.
7
1.4. Justificación
La Información es parte de los activos más importantes de toda empresa, y a su vez

es uno de los recursos más propenso a vulnerabilidades, siendo necesario protegerlo
de amenazas internas y externas. En la actualidad las empresas necesitan que la
información que manejan esté siempre disponible, sin alteraciones en sus datos y sea
confiable.
La norma ISO/IEC 27001: Sistemas de Gestión de Seguridad de la Información,

proporciona un estándar de calidad de seguridad de la información, ayudando a
minimizar los riesgos de daño, robo o fuga de información; permitiendo mantener la
integridad, confidencialidad y disponibilidad de la información, además de garantizar
la autenticidad y el no repudio de la misma.
Mediante el análisis de seguridad informática y seguridad de la información,

Credigestión podrá conocer y aplicar controles de seguridad en la información que se
maneja en la empresa para asegurarse que éste siendo utilizada adecuadamente y
solo tenga acceso personas autorizadas.
El desarrollo del análisis de seguridad de la información basada en las Normas

ISO/IEC 27001 permitirá conocer las vulnerabilidades existentes en el manejo de la
información física así como la que está contenida en los sistemas de procesamiento
de información, de tal forma que se puedan tomar acciones preventivas y correctivas
dentro de la empresa, para evitar que se lleguen a comprometer datos confidenciales.
8
CAPÍTULO II
MARCO TEÓRICO
2.1. Antecedentes de la Investigación
Durante muchos años las empresas se han preocupado por perfeccionar todos los
sistemas informáticos, dejando en una prioridad casi nula la seguridad de la
información. La evolución de los sistemas computacionales, del internet y de las
comunicaciones en general han abierto una puerta para que las personas empiecen a
descubrir el valor de la información y la facilidad de acceder a los datos.
Desafortunadamente ese fácil acceso a la información la expone a que también sea

utilizada por personas no autorizadas. Existen miles de personas que se dedican a
realizar ataques informáticos con la finalidad de obtener información para cometer
actos ilícitos, de tal manera que puede llegar a perjudicar una empresa.
Actualmente es necesario garantizar que en los perfeccionamientos realizados en los

sistemas informáticos y en la manipulación de la información física se incluyan
criterios de seguridad de la información, pues está debe resguardarse y limitarse para
evitar exponerla a personas ajenas a la utilización de la misma.
Los controles relacionados a la Seguridad de la Información y de los Sistemas

Informáticos se refieren al conjunto de normas, procedimientos y mecanismos
utilizados para garantizar la confidencialidad, integridad y disponibilidad en los
sistemas de procesamiento de datos y en la información utilizada por personal de las
organizaciones.
Bajo las consideraciones antes mencionadas es importante realizar un análisis de

seguridad en los procesos ejecutados en una empresa, de esta manera se podría
detectar posibles vulnerabilidades y amenazas que puedan afectar a la continuidad
del negocio.
Siendo conocido que la información forma parte de los activos más importantes
dentro de una organización, Credigestión definió la necesidad de adaptar a su gestión
9
de negocio, controles de seguridad que les permita garantizar que la información
contenida en sus sistemas informáticos sea confiable, siempre esté disponible y se
mantenga íntegra, por lo cual incorporar lineamientos de seguridad en los procesos
críticos de la empresa le permitiría minimizar posibles riesgos de fuga de
información o el manejo incorrecto de la misma.
2.1.1. Marco Referencial
A continuación se detalla los conceptos que se utilizan para el desarrollo de la

investigación planteada, teniendo como propósito mostrar un procedimiento
coordinado y coherente de conceptos, contribuyendo de esta forma a la interpretación
correcta de los resultados de la investigación.
2.1.1.1. Norma ISO/IEC 27001
Es una norma internacional que detalla lineamientos de seguridad de la información,

los cuales permiten implementar en la gestión de seguridad de la información de
cualquier empresa controles para mejorar continuamente la seguridad física y lógica
de la información, ayudando así a proteger la información de posibles robos o daños.
La primera revisión se publicó en 2005 y fue desarrollada en base a la norma
británica BS 7799-2. (Kosutic, 2014)
2.1.1.2. Beneficio de la Norma ISO/IEC 27001
Permite disminuir posibles riesgos de vulnerabilidades en los sistemas informáticos y

en la información en general manejada por personal de la empresa, además mejora
los procesos y servicios prestados, teniendo una mejor organización de los procesos,
aumentando la competitividad de la empresa debido a que se demuestra el interés por
salvaguardar la integridad, confiabilidad y disponibilidad de la información de los
clientes.
2.1.1.3. Dominios de seguridad de la ISO/IEC 27001
Política de seguridad
10
Organización de la seguridad
Gestión de activos
Seguridad de los Recursos Humanos
Seguridad Física y del Entorno
Gestión de Comunicaciones y Operaciones
Control de Accesos
Adquisición, Desarrollo y mantenimiento de los sistemas
Gestión de Incidentes de Seguridad de la Información
Gestión de la continuidad de los negocios
Cumplimiento
2.1.1.4. Sistema de gestión de seguridad de la información
Permite implementar controles de seguridad, ayudando a monitorear, revisar,

mantener, y mejorar la seguridad de la información.
2.1.1.5. Seguridad de la Información
Esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial;
para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la información (ISO/IEC 27001:2005)
2.1.1.6. Seguridad Informática
Se entiende por seguridad informática al conjunto de reglas y normas diseñadas para

garantizar la confidencialidad, integridad y disponibilidad de la infraestructura
tecnológica abarcando hardware y software.
2.1.1.7. Comité de Gestión de la seguridad de la información
Se refiere a un grupo de personas especializadas en temas tecnológicos y de

seguridad de la información, y necesariamente se incluye a la máxima autoridad de la
empresa.
11
2.1.1.8. Manual de Políticas de Seguridad de la Información
Se refiere al documento donde se detallan todos los controles de seguridad que están
implementados en la empresa, así como la definición de responsabilidades para cada
actividad.
2.1.1.9. Propietario de la Información
personas responsables de velar que se le dé buen uso aquellos activos, así como el
analizar quien debe tener acceso a los mismos.
2.1.1.10. Confidencialidad de la información
La propiedad que esa información esté disponible y no se divulgada a personas,

entidades o proceso no autorizado. (ISO/IEC 27001:2005).
2.1.1.11. Integridad de la información
Tener la certeza de que la información y métodos de procesamiento no han sido

modificados.
2.1.1.12. Disponibilidad de la información
Tener la certeza de que la información va a estar disponible en el momento que

requiera ser accedida por las personas que están autorizadas a acceder a la misma.
2.1.1.13. No repudio de la información
Permite garantizar que determinada acción realizada por algún usuario no pueda ser
negada, siendo de esa manera irrefutable.
2.1.1.14. Autenticación
12
Se refiere al mecanismo de seguridad que permite identificar que usuario está
intentando acceder a determinado sistema. Evita las suplantaciones de identidad.
2.1.1.15. Autorización de la información
Garantiza que el emisor tiene permisos de accesos a los servicios o a la información

que quiere acceder.
2.1.1.16. Activo de Información
Se refiere a toda la información que se genera en una empresa.
2.1.1.17. Tecnología de Información
Se refiere a las herramientas que son utilizadas para manipular o distribuir

información, es decir son el hardware y software operado por una empresa.
2.1.1.18. Incidente de seguridad de la información
Un solo o una serie de eventos de seguridad de la información no deseados o

inesperados que tienen una significativa probabilidad de comprometer las
operaciones comerciales y amenazan la seguridad de la información (ISO/IEC,
2005).
2.1.1.19. Evento de seguridad de la Información
Una ocurrencia identificada del estado de un sistema, servicio o red indicando una
posible violación de la política de seguridad de la información o falla en las
salvaguardas, o una situación previamente desconocida que puede ser relevante para
la seguridad. (ISO/IEC, 2005).
2.1.1.20. Riesgo Residual
El riesgo remanente después del tratamiento del riesgo. (ISO/IEC, 2005).
13
2.1.1.21. Aceptación de riesgo
Decisión de aceptar el riesgo. (ISO/IEC, 2005).
2.1.1.22. Análisis de Riesgo
Uso sistemático para identificar fuentes y para estimar el riesgo. (ISO/IEC, 2005).
2.1.1.23. Valuación del riesgo
Proceso general de análisis del riesgo y evaluación del riesgo. (ISO/IEC, 2005).
2.1.1.24. Evaluación del riesgo
Proceso de comparar el riesgo estimado con el criterio de riesgo dado para

determinar la importancia del riesgo. (ISO/IEC, 2005).
2.1.1.25. Gestión del riesgo
Actividades coordinadas para dirigir y controlar una organización con relación al

riesgo. (ISO/IEC, 2005).
2.1.1.26. Tratamiento del riesgo
Proceso de tratamiento de la selección e implementación de medidas para modificar

el riesgo. (ISO/IEC, 2005).
2.1.1.27. Delitos Informáticos
Se refiere a todas las acciones se cometen mediante medios informáticos con la

finalidad de robar, dañar o cambiar información y que afectan a empresas y
personas.
14
2.1.1.28. Hackers
Es una persona que posee conocimientos avanzados en cuanto a tecnología y los

utiliza para descubrir vulnerabilidades que pueda existir en los sistemas informáticos.
2.1.1.29. Crackers
Es una persona que posee conocimientos avanzados en cuanto a tecnología pero a

diferencia de los hackers, los crackers utilizan sus conocimientos para vulnerar los
sistemas informáticos, muchas veces es con fines de lucro. Logrando así robar
información confidencial de la empresa.
2.1.1.30. Virus Informático
Son programas maliciosos que alteran el funcionamiento de las computadoras,

logrando de esa forma dañar y borrar información valiosa.
2.1.1.31. Antivirus
Programa utilizado para detectar la presencia de virus informático en equipos

tecnológicos y archivos enviados por medios tecnológicos.
2.1.1.32. Spam
Mensajes basura no deseados, generalmente enviados mediante correos electrónicos

masivos.
2.1.1.33. Anti-spam
Software utilizado para detectar correo basura, de tal forma que pueda bloquear su
entrada.
2.1.1.34. Antispyware
15
Software utilizado para detectar programas espías que se ocultan en la computadora
2.1.1.35. Firewall
Programa utilizado para bloquear el acceso a un determinado programa, impidiendo

la ejecución de toda actividad dudosa.
2.1.1.36. Falsificación de información por terceros
Se refiera a una acción consciente por parte de personas ajenas a la empresa con la
finalidad de alterar o modificar información de algún documento.
2.1.1.37. Capacitación de seguridad de la información
Se refiere a las charlas y/o conferencias acerca de temas de seguridad de la

información que se deben dar de forma periódica a los funcionarios con la finalidad
de mantenerlos informados de los riesgos a las que está expuesta la información que
manejan.
2.1.2. Marco Teórico
SGSI: Sistema de Gestión de Seguridad de la Información.
Normas: Principio para establecer acciones y procesos en el desarrollo de una

actividad cumpliendo con políticas.
ISO: Organización Internacional para la Estandarización.
IEC: Comisión Electrotécnica Internacional.
Activo: Cualquier recurso que tiene valor para la empresa.
Riesgos: Vulnerabilidad a que se produzca un daño potencial.
16
Vulnerabilidad Informática: Incapacidad de protegerse ante un ataque.
Ataque Informático: Es el intento de acceder a información a la cual no se está

autorizado.
Amenaza Informática: Hace referencia a la posibilidad de que ocurra alguna

situación que representa un peligro.
Impacto Informático: Son las consecuencias de que se materialice un riesgo.
Controles de seguridad: Acción o acciones que se utilizan para minimizar el riesgo.
Evitar un riesgo: Son acciones preventivas y oportunas que se realizan para no

llegar a ser afectado por la materialización de un riesgo.
2.2. Fundamentación legal
El marco legal se basa en estándares internacionales aceptados para la práctica de

norma ISO/IEC 27.001 Sistemas de Gestión de Seguridad de la Información, en las
regulaciones de la Superintendencia de Bancos estipuladas para el sector comercial
de créditos y el reglamento interno de la empresa Credigestión.
2.3. Formulación de Hipótesis
2.3.1. Hipótesis General
A través de controles de seguridad basados en la norma ISO/IEC 27001 se establecen

mecanismos adecuados para mitigar riesgos que se puedan presentar en el uso de los
sistemas de información y en el manejo de la información.
2.3.2. Hipótesis Específicas
Aplicar mecanismos de seguridad mejorará la gestión de la seguridad de la

información.
17
Establecer un responsable del manejo, monitoreo y seguimiento de los
controles de seguridad, mejorará la gestión de la seguridad de la información.
Incluir charlas de temas relacionado a la seguridad de la información

mejorara la cultura organizacional.
Establecer responsabilidades y obligaciones del manejo de la información de

acuerdo a las funciones que realiza cada persona dentro de la empresa
mejorará la cultura organizacional respecto a la seguridad de la información.
Mantener documentados y actualizados los procesos, procedimientos e

instructivos de cada área mejorará la gestión organizacional.
A través de los controles de seguridad se puede monitorear posibles amenazas

que afecten los sistemas tecnológicos de la empresa.
Mediante controles de seguridad se puede mejorar el ámbito financiero, pues

ayudará a prevenir incidentes de seguridad que puedan incurrir en altos costos
para la empresa.
Permite mejorar el aspecto comercial generando credibilidad y confianza

entre sus clientes.
2.4. Señalamiento de variables
2.4.1. Variables Independientes
Controles de seguridad
Nivel de compromiso
Infraestructura informática
Madurez de los procesos
18
2.4.2. Variables Dependientes
Madurez de la seguridad de información

Vulnerabilidades en los procedimientos
Amenazas
19
CAPÍTULO III
MARCO METODOLÓGICO
3.1. Modalidad básica de la investigación
El proyecto se basa en las siguientes modalidades de investigación:
De campo: Se utilizará la investigación de campo pues se necesitó recurrir al lugar

donde se desarrollan los hechos, obteniendo información veraz de lo ocurrido, de tal
forma que el análisis realizado este acorde a los objetivos de la investigación.
Bibliográfica: Debido al estudio de seguridad que se realizara, nos enmarcamos en

torno al direccionamiento de la norma ISO/IEC 27001, que cubre criterios de buenas
prácticas y gestión referente a la información.
3.2. Tipo de Investigación
Tipo de investigación de campo: Este tipo de investigación se apoya en la

información levantada, obtenida mediante observaciones en el lugar donde se
desarrolla cada proceso, reuniones con los Gerentes y Supervisores de cada
área.
Tipo de investigación descriptiva: Este tipo de investigación detalla las

actividades que se llevan a cabo en los procesos manejados en el objeto de
estudio, permitiendo conocer en forma sistemática las falencias que se
presentan en los mismos.
Tipo de investigación no experimental: El objeto de estudio de la

investigación no se puede modificar deliberadamente, basándose
principalmente en la observación de eventos para que puedan ser
posteriormente analizados.
Tipo de investigación explicativa: Esta investigación es explicativa porque

intenta establecer los aspectos que causan el objeto de la investigación, plantea
20
una valoración de hipótesis que ayude a comprender las causas de los eventos
que se estén presentando.
3.3. Población y Muestra
3.3.1. El Universo
Las unidades básicas objeto de investigación la conforman los empleados de los

departamentos de la empresa Credigestión:
Crédito y Cobranzas
Cartera
Control de Calidad
Administración
Recursos Humanos
Caja
Contabilidad
Sistemas
Servicios Generales
Cuya población se totaliza en 230 empleados.
3.3.2. Muestra
Para el estudio y análisis de datos, se realizó un muestreo intencional donde los

criterios para la selección dentro de la población consistieron:
Directivo del departamento que posee un amplio conocimiento del proceso y

actividades que deben realizar los operarios del área y que mantenga un rol
de ejecutor en la toma de decisiones.
Operario típico de la unidad o departamento que realice o manipule

información para llevar a cabo las actividades que su rol exige.
21
Es factible que con un número de 23 funcionarios a entrevistar y encuestar se puede
lograr una apreciación muy real de la situación actual, ya que el análisis se centra
sobre el grupo de personas que cumplen un papel relevante en los procesos de la
empresa.
3.4. Operacionalización de variables e indicadores
Tabla 1. Matriz de Operacionalización de Variables
Definición
Variable Dimensiones Indicadores
Conceptual
Controles Los controles de Divulgación de Políticas de políticas de seguridad que
de seguridad ayudan las medidas de los usuarios deben conocer y aplicar.
Seguridad a regular las Seguridad
actividades
Medios determinados para la
realizadas sobre
comunicación de las políticas de
la información
seguridad.
Valoración de Periodicidad en la verificación de la

las políticas de efectividad de las medidas de
seguridad seguridad.
Periodos determinados para la

evaluación interna.
Nivel de Es el nivel de apoyo Inversión realizada Adquisición de herramientas tecnológicas

compromiso que se brinda a los en la adquisición y/o contratación de personal especializado
sistemas de de recursos que en gestión de la seguridad de la
seguridad de la permitan el control información.
información. y monitoreo
continuo de las
políticas de
seguridad
Cumplimento de Revisiones periódicas de las actividades
los procedimientos establecidas de acuerdo al rol del
y controles de funcionario.
seguridad
22
establecidos
Infraestructu Es el conjunto de Seguridad brindada Periodos de revisión de la configuración

ra software y hardware por los sistemas de de seguridad de los equipos de
informática que dan soporte al procesamiento, almacenamiento de datos.
procesamiento y transmisión y Periodos de evaluación de seguridad de
almacenamiento de almacenamiento de los sistemas informáticos de
datos. datos. procesamiento de datos.
Periodos de revisión de la seguridad en
los sistemas de comunicación.
Madurez de La madurez de los Nivel de los Evaluación del estado actual del proceso.
los procesos procesos se refiere a procesos de la
la definición, empresa
estandarización,
automatización y
regulación de los
procesos.
Madurez La madurez de la Estableci Capacitaciones del Personal.
de la seguridad de la miento de
seguridad información, implica controles Incidentes detectados sobre las políticas
de la el cumplimiento e de de seguridad.
Informaci implementación de Seguridad
ón los controles de la Auditorías realizadas en las áreas
establecidos. informaci administrativas.
ón
Seguridad de la Incidentes reportados en las aplicaciones

información a que puedan afectar la información.
nivel de
Incidentes reportados en los equipos de
Tecnologías de la
cómputo de los funcionarios.
Información.
Criterios determinados en las
evaluaciones de los sistemas de
información.
Vulnerabi Las vulnerabilidades Vulnerabi Histórico de las vulnerabilidades sobre las
lidad en se consideran como lidades cuales se ha tomado acciones correctivas.
los una falencia que que se
procedimi puede ser explotada. conocen y
Vulnerabilidades encontradas y
entos no ha
reportadas.
23
podido
ser
cubiertas
Amenazas Es el conjunto de Identificación de Reporte de amenazas detectadas.
vulnerabilidades que las amenazas
se han detectado y existentes
significan un riesgo Gestión sobre las Procedimientos definidos para la gestión
para la seguridad de amenazas y control de amenazas.
la información.
Seguimientos sobre amenazas críticas
gestionadas
Históricos de la gestión de amenazas
3.5. Plan de recolección de información
Para desarrollar el análisis de seguridad de la información se utilizará los siguientes

mecanismos de recolección de información:
Encuestas
Entrevistas
Consultas
Reuniones
Observación
Revisión de documentación
3.6. Plan de procesamiento de la información
Se podrá utilizar el siguiente criterio:
Levantamiento de Información
Clasificación de la Información
Registro de la Información
Análisis de la información obtenida
Verificación de la Información
24
Archivo de la información
El proceso de los datos se realizará sobre la herramienta ofimática de Microsoft,

Excel la cual nos permitirá clasificar, verificar y contrastar las variables de la
investigación. Con los datos obtenidos se analizará los controles de seguridad que
podrá acoger la empresa.
Como soporte para la recolección de datos y procesamiento, serán necesarios dos

equipos de cómputo portátiles, por movilización, facilidad para compartir
información y poder de procesamiento necesario para detallar resultados y
recomendaciones finales.
25
CAPÍTULO IV
ANÁLISIS Y RESULTADOS
4.1. Análisis de los Resultados
Los resultados obtenidos en la evaluación del análisis de Seguridad de la

Información y Seguridad Informática, ayudarán a Credigestión en la implementación
de buenas prácticas que mitigará las vulnerabilidades y amenazas que han sido
identificadas.
El proceso central analizado fue el del área de Sistemas, por ser considerada como
soporte fundamental para el procesamiento y almacenamiento de datos, así mismo se
analizó el grado de concientización en seguridad de la información y manejo de la
información en áreas críticas como: Cartera, Crédito y Cobranzas y áreas de apoyo,
Administrativo, Recursos Humanos, Control de Calidad, Contabilidad, Caja y
Servicios Generales.
4.1.1. Responsabilidad de la ejecución de los controles correctivos y preventivos
Es importante indicar que será de exclusiva responsabilidad del área de Sistemas o

Responsable de Seguridad Informática en coordinación con el Presidente Ejecutivo
de Credigestión, el evaluar los controles que han resultado de este análisis, para que
puedan ser implementados en la empresa, tomando en cuenta la infraestructura
tecnológica y recurso humano disponible.
Ejecutan: Área de Sistemas o Responsable de Seguridad Informática en

coordinación con los Propietarios de la Información.
Monitoreo de cumplimiento: Área de Sistemas y/o Responsable de Seguridad

Informática
4.1.2. Planificación de entrevistas
26
Con la finalidad de obtener resultados reales de la situación en la empresa referente a
temas de seguridad de la información, se elaboró una planificación de entrevistas con
personal directivo de las áreas consideradas críticas (Sistemas, Cartera. Crédito y
Cobranzas), así mismo se mantuvo entrevistas con directivos de las áreas de apoyo.
Con la colaboración del área de Sistemas se programaron un total de 13 entrevistas.

A continuación se detallan los nombres y cargos de cada una de las personas
entrevistadas:
Tabla 2. Cuadro de Planificación de entrevistas
Fechas Nombres Cargos
Viernes, 6-feb-2015 Soledad Camposano Gerente de Sistemas
Lunes, 9-feb-2015 Paola Terán Especialista en Redes y base de datos
Lunes, 9-feb-2015 Maritza López Jefa de Desarrollo e implementación de

Sistemas
Martes, 10-feb-2015 Mery Cajamarca Jefe de Cartera
Martes, 10-feb-2015 Mariela Fierro Subgerente de Operaciones Crédito y

Cobranzas
Miércoles, 10-feb-2015 María Calle Supervisor de Cobranzas
Miércoles, 11-feb-2015 Elba Candelario Coordinador de Cobranzas Terrenas
Miércoles, 11-feb-2015 Pedro Avelino Coordinador de Cobranzas Telefónicas
Jueves, 12-feb-2015 Verónica Gamarra Jefe del área Administrativa
Jueves, 12-feb-2015 Luis Cárdenas Jefe de Control de Calidad
Viernes, 13-feb-2015 Olga Escobar Supervisor de Contabilidad
Viernes, 13-feb-2015 Aracely Mendoza Jefe de Recursos Humanos
Viernes, 13-feb-2015 Jacqueline Villalta Supervisor de Caja
4.1.3. Cuestionario de preguntas a realizar en las entrevistas y encuestas
El resultado del análisis de riesgo tiene como base la recolección de información, en

la cual se aplicaron técnicas de observación, revisión de documentación, reuniones,
consultas, preguntas de entrevistas y encuestas.
27
Cabe indicar que se considera muy importante el criterio de la persona entrevistada,
pues es quien posee el nivel de conocimiento de los procesos que se llevan a cabo en
cada área.
Las entrevistas y encuestas realizadas al área de Sistemas y demás áreas de la

empresa, tuvieron como base los controles detallados en los dominios de la ISO
27001. A continuación se detalla en forma general los criterios para la identificación
de vulnerabilidades sobre las cuales se elaboraron las entrevistas y encuestas las
cuales están incluidas en el anexo 1.
Criterios de seguridad para las preguntas de entrevistas y encuestas en el área

de Sistemas
Existencia del Manual de Política de Seguridad de la Información

Periodos de actualización del Manual de Política de Seguridad de la
Información
Socialización del Manual de Política de Seguridad de la Información
Existencia del área o responsable de seguridad informática
Herramientas de seguridad implementadas
Existencia de procedimientos e instructivos propios del área
Periodos de actualización de los procedimientos e instructivos
Participación y apoyo de las máximas autoridades de la empresa
Concientización al personal acerca de temas de seguridad de la información
Perfiles y roles de usuarios
Clasificación de la información
Controles y políticas de seguridad implementadas en la empresa
Mecanismos de autenticación
Gestión de contraseña en los diferentes aplicativos
Infraestructura tecnológica
Software Malicioso
Mantenimientos en equipos tecnológicos
Inventarios tecnológicos
28
Respaldos de información
Incidentes de seguridad
Plan de contingencia
Criterios de seguridad para las preguntas de entrevistas y encuestas en las

demás áreas
Conocimiento acerca del tema de Seguridad de la información y seguridad

informática
Existencia de Procedimientos e instructivos propios del área
Periodos de actualización de los procedimientos e instructivos
Conocimiento de un Responsable de Seguridad en la empresa
Identificación y categorías de los activos de información de cada área
Incidentes o eventos de seguridad
Control de acceso mediante mecanismos como tarjetas de acceso, llaves.
entre otros
Responsables de solicitar accesos a los diferentes aplicativos y módulos de
acuerdo a lo que se utilice en cada área.
Concientización en temas de seguridad de la información
Importancia de la aplicación de controles de seguridad dentro de la empresa
Detección de vulnerabilidades de seguridad en los aplicativos
4.1.4. Situación actual
De acuerdo a las respuestas obtenidas en las diferentes entrevistas y encuestas

realizadas a personal de Credigestión; así como la utilización de técnicas como la
observación, consultas y revisión de documentación, se pudo identificar el estado
actual de la empresa, referente a temas de seguridad de la información y seguridad
informática, basado en los controles de la norma ISO/IEC 27001.
29
Políticas de seguridad
- Credigestión no posee un manual de políticas de seguridad de la información,

pero tienen implementados y documentados algunos controles de seguridad que
permiten limitar accesos no autorizados a la información, los cuales no han sido
actualizados desde su fecha de elaboración. Además la única persona que conoce
en su totalidad la existencia de dicha la documentación es la Gerente de
Sistemas, pues el resto del personal del área de Sistemas solo se limita a conocer
la documentación y controles conforme a las funciones que desempeñan.
- Solo las áreas de Sistemas, Caja, Crédito y Cobranzas, cuentan con

procedimientos e instructivos documentados formalmente. Pero aun así el
personal que labora en el área de Caja no conoce de la existencia de instructivos
y procedimientos de su área.
Organización de la seguridad de la información
- Existe el compromiso adecuado de la máxima autoridad con temas relacionados

a la tecnología e implementación de controles de seguridad.
- La coordinación tanto de la seguridad de la información como de los sistemas de

procesamientos de información son realizadas entre el personal de sistemas y la
Gerente de Sistemas, solo en casos de que la actividad a realizar infiera en costos
se informa a los altos directivos sobre lo que se va a implementar.
- No existe un Comité de Gestión de Seguridad de la información que se encargue

expresamente de la toma de decisiones referentes a implementaciones de
controles y herramientas que permitan mejorar la seguridad de la información.
- La Especialista de Redes y Base de datos encargada de la seguridad de las redes

y bases de datos, es además la responsable de la administración de accesos a los
diferentes aplicativos que utilizan los funcionarios, por tal razón se la considera
como la Responsable de Seguridad Informática, pero no realiza ninguna
actividad acorde a la gestión de seguridad de la información, ni ninguna función
30
propia de este cargo, no existen la definición de actividades a cumplir con
respecto a seguridad de la información.
- Los funcionarios tienen la certeza de que cuando se habla del área Seguridad
Informática o Seguridad de la Información se están refiriendo al área de
Sistemas, pues se piensa que ambas áreas realizan las mismas actividades, y lo
único que cambia es el nombre.
- La mayoría de funcionarios tiene la seguridad de que en la empresa existe un

área de Seguridad Informática y Seguridad de la Información o al menos existe
un Responsable de Seguridad Informática, por otro lado también existen
funcionarios que desconocen si existe aquella área en la empresa.
- Falta de un proceso formal donde se indique como se debe realizar la

autorización de funcionamiento y uso de los nuevos medios de procesamiento de
información, de tal forma que se establezcan responsabilidades de autorización,
y se pueda evidenciar que el nuevo sistema está acorde a las necesidades de la
empresa o área.
- El área de Recursos Humanos incluye en el contrato de los funcionarios una

cláusula que indica que el trabajador se compromete expresamente a guardar
confidencialidad y reserva de la información, pero esta cláusula no tiene la
relevancia suficiente pues los funcionarios no recuerdan que exista ese
compromiso de confidencialidad de la información que están manejando.
- Mantienen un apropiado registro de contactos con autoridades externas en caso

de incidentes de seguridad de nivel mayor.
- Por no existir una persona o área que se dedique exclusivamente a gestionar los
temas de seguridad informática y seguridad de la información no se mantiene
contacto con grupos o empresas que les aporten conocimientos, observaciones,
entre otros referente a la seguridad de la información.
- Todos los controles implementados actualmente no son objeto de monitoreo,

mientras nadie reporte que está funcionando mal algún sistemas, se asume que
31
todo funciona correctamente. Cuando ocurre un cambio significativo como
actualizaciones o implementación de nuevos sistemas de procesamientos de
información, el área de Sistemas se encarga de elaborar un manual de uso.
- No se realiza ninguna acción que permita la identificación de riesgos en la

información a la que tienen acceso proveedores o contratistas, por lo que no
saben que controles podrían implementar referente a ese tema.
- El área Sistemas es quien se encarga expresamente de la elección y contrato de

personal externo (mantenimientos de equipos, entre otros), en el contrato
realizado no se incluye un acuerdo de confidencialidad y no divulgación de la
información que vaya a ser manejada proveedores o contratistas.
Gestión de Activos
- Se cuenta con inventarios de equipos de computación y dispositivos de

almacenamiento, lo cuales son actualizados por el área de Sistemas cada vez que
se adquiere un nuevo equipo o dispositivo. Además poseen un documento donde
se detallan las licencias utilizadas para cada servidor que poseen. Ninguna
persona del área de Sistema pudo identificar exactamente cuántos sistemas
operativos se están usando en la empresa; se conoce que actualmente el uso es de
tres sistemas operativos Windows XP, Windows 7 y Windows 8. En lo referente
a inventarios o documentación de propia de la institución el área de Recursos
Humanos indico que no se tiene un organigrama que permita conocer claramente
todos los departamentos existentes, los cargos y perfiles que corresponden a cada
uno de ellos.
- No existe un documento formal donde se designen los propietarios de la

información y de los activos asociados con los medios de procesamiento de la
información. Únicamente el área de Sistemas es quién tiene establecido
responsabilidades con respecto a los activos de equipos de cómputos,
dispositivos almacenamientos, tóner por ser quién se encarga de la compra de
esos suministros para toda la empresa.
32
- Poseen políticas referentes al uso de correo electrónico institucional, e internet,
las cuales tienen restricciones conforme a las actividades que desempeña cada
funcionario. Se tienen grupos de categorías definidos para el acceso al internet,
aquellas políticas se encuentran documentadas, pero no se define en ninguna de
ellas, cuál será el uso correcto que deben darle los funcionarios y que se
considera un uso incorrecto de aquellos activos.
- No se encuentran definidos criterios para la clasificación de la información y

manejo de la información, por lo que las áreas no cuentan con un catálogo de
clasificación de la información, el cual les permita determinar qué información
es confidencial o de uso interno; los funcionarios no tienen claro a que se le
puede considerar información confidencial y/o de uso interno.
- No se posee ningún criterio de etiquetado y manejo de la información, se pudo

apreciar que solo las cintas de respaldo se rotulan con fecha, número secuencial
y nombre que hace referencia a lo respaldado. Para el archivo de información
física no se utiliza ningún criterio, pues se archiva la información de acuerdo a
las necesidades de cada persona, solo ciertas carpetas cuentan con el nombre que
hace referencia a lo que contiene.
Seguridad de los Recursos Humanos
- El área de Recursos Humanos no posee documentación donde se defina las

funciones y responsabilidades de los empleados, en los contratos solo se
incluyen responsabilidades y obligaciones que tienen con la empresa.
- El área de Recursos Humanos realiza el proceso de contratación de nuevos

funcionarios siguiendo el proceso definido en base a la experiencia de la actual
Jefe de área, no se tiene definido un proceso formal.
- En los contratos con empleados, contratistas y terceros solo se incluyen

responsabilidades y obligaciones que se deben cumplir en el trabajo a realizar
dentro de la empresa y acorde a las políticas de la misma, pero no se estable las
33
responsabilidades y obligaciones que deben tener en referencia a la seguridad de
la información.
- Conforme a los contratos firmados por empleados, contratistas y terceros se

gestiona las responsabilidades que deben cumplir durante el tiempo de sus
labores en la empresa; estas responsabilidades a cumplir están solamente
enfocadas a políticas e la empresa y no a políticas de seguridad de la
información.
- Desde las máximas autoridades hasta los usuarios finales no poseen

conocimiento claro de los temas relacionados con seguridad de la información y
seguridad informática, además no conocen si en la empresa existen controles de
seguridad para mitigar algún incidente de seguridad. Los funcionarios nunca han
recibido capacitaciones de temas relacionados con seguridad de la información,
muchos creen que se trata de seguridad del empleado, y otros no tienen idea de
que se trata.
- No existe un procedimiento que indique las sanciones en caso de faltas

cometidas por los funcionarios en la seguridad de los sistemas de procesamiento
de información o información física que manejan; en las políticas general de
Credigestión se establece que establecerán sanciones que conllevarán a la
terminación de contrato laboral, pero no se define qué acciones son las que se
consideran graves.
- No cuentan con procedimientos donde indiquen que antes del término de

contrato laboral deben devolver los activos fijos que se les ha entregado al inicio
de sus labores. Cada supervisor de área se encarga de recibir los materiales de
oficinas utilizados por el funcionario, pero tiene la certeza de que aquellos
materiales de oficina que son devueltos sean los mismos que se le asignaron al
inicio de las labores del funcionario.
- Cuando los funcionarios terminan su contrato laboral con la empresa, es el jefe

correspondiente quien se encarga de revisar que el funcionario haga la entrega de
toda la información utilizada y generada durante sus actividades laborales
34
además es quien procede a notificar al área de Sistemas para que se elimine o
desactive los accesos a los diferentes aplicativos de los cuales hacía uso, no
existe ninguna documentación formal donde se detalle el proceso antes
mencionado.
Seguridad Física y Ambiental
- La empresa alquila dos pisos del edifico en el que se encuentra, únicamente en el

primer piso es donde se encuentra el área de recepción, por lo que el acceso del
personal ajeno a la empresa que se dirige al segundo piso no es supervisado.
- El área de Control de Calidad, se encuentra ubicada en el mismo espacio que el

área de Caja, por lo que clientes que requieren realizar pagos entran al área sin
ningún tipo de control de seguridad, no existe la correcta separación entre estas
dos áreas.
- El área de Sistemas es la única área que cuenta con un mecanismo de control de

acceso por ser considerada un área restringida.
- No existen detectores de humo, ni alarmas contra incendios en la empresa. Hay

un extintor en el pasillo de uno de los pisos, no existen extintores dentro de las
oficinas.
- El sistema de cámaras no es propio de la empresa, lo maneja personal ajeno,

pues el edificio en el que se encuentran no es propio, lo comparten con más
empresas.
- El Rack de comunicaciones así como el UPS se encuentra dentro del área de

Sistemas, en un espacio físico separado, las llaves las tiene únicamente la
Especialista de Redes y Bases de datos, esta área solo cuenta con detector de
humo como medida de protección contra alguna amenaza externa o ambiental
(fuego, agua, entre otros).
35
- Las áreas no se pueden identificar fácilmente, pues no cuentan con el
señalamiento apropiado. Así mismo el área donde está el Rack y UPS no cuenta
con la señalética adecuada.
- Todos los equipos están ubicados dentro de las áreas, de esa forma intentan
limitar los accesos no autorizados de personas ajenas a la empresa.
- Se cuenta con un UPS que les permite tener energía eléctrica 20 minutos después
que ocurre el corte de energía, lo que les permite a los funcionarios guardar la
información y apagar las computadoras para evitar daños.
- El área de Sistemas realiza dos veces al año mantenimientos en los equipos de

procesamiento de información, pero no existe documentación donde se detallen
qué tipos de mantenimientos se realizaron, los responsables, ni ninguna
información que permita conocer detalles del trabajo realizado.
- Debido a que está prohibido sacar equipos de propiedad de la empresa, no se

tiene implementado ningún control referente a la seguridad de equipos fuera de
la empresa. Esa prohibición no se encuentra detallada en ninguna política de
seguridad; los únicos autorizados para sacar equipos en este caso laptops son los
altos directivos por temas de reuniones.
- No se realiza ningún procedimiento que permita la eliminación de información

de las computadoras que fueron utilizados por funcionarios que ya no laboran en
la empresa.
Gestión de las Comunicaciones y Operaciones
- El área de Sistemas únicamente cuenta con documentación de respaldos, dejando

a un lado los demás procedimiento de operación propia del área, como lo son
mantenimientos, instructivos o procedimientos de manejo de errores,
documentación de recuperación del sistema en caso de fallas, entre otros.
- El área de Sistema realiza revisiones los cambios realizados a los sistemas y

versiones que se actualicen. La Especialista en Redes y Base de datos, indica que
36
todos los cambios que se realizan en algún módulo del ISYSystem son
comunicados y coordinados con los Gerentes, Subgerentes o Jefes de cada área;
antes de pasar producción se realizan las pruebas pertinentes para así poder
garantizar que los cambios realizados no afectan la utilidad del sistema. No se
- Cada funcionario del área de Sistemas tiene claro cuáles son sus funciones y
responsabilidades a cumplir de acuerdo al cargo que tienen y funciones
adicionales que pueden ser encargadas por la Gerencia del área.
- La Jefa de Desarrollo e implementación de sistemas es quien se encarga de

designar al personal que debe participar en cada una de las fases de producción o
actualización de un sistema.
- No se encuentra documentado las actividades que deben realizarse en cada

ambiente: Desarrollo, Pruebas, Capacitación y Producción, debido a que es la
Jefa de Desarrollo e Implementación de Sistemas quien se encarga de indicar al
personal que actividades se deben realizar en cada fase(ambiente).
- El área de Sistemas al encargarse de la contratación de los servicios de terceros,

es quién define los términos que deben cumplir los proveedores y revisa que lo
entregado esté acorde a lo requerido.
- Nos se realizan revisiones regularmente de los servicios de terceros; actualmente

mantienen contrato con una empresa externa que es quien les provee el servicio
de desarrollo de la página web de la empresa y actualiza constantemente la
información en la página, al ser una página web solo informativa no se
consideran ningún tipo de monitoreo ni controles de seguridad mínimo que deba
cumplir la empresa contratada para el manejo de aquella página.
- El área de Sistemas no realiza ningún tipo de análisis de la capacidad de los

recursos utilizados, pues solo consideran las necesidades actuales, más no
proyecciones futuras, lo que genera un mayor costo en adquisiciones de nuevos
recursos.
37
- No se tiene establecido criterios mínimos de seguridad en la aceptación y
aprobación del uso de un sistema de información, los cuales deben ser aplicados
antes de la apuesta en producción de un nuevo servicio o actualización realizada
en un servicio existente.
- Se posee mecanismos para la detección de software malicioso en correos

electrónicos entrantes que permiten detectar cuando se trata de un correo spam o
con virus estos muestra un mensaje de alerta y no pueden ser recibidos por su
destinatario final, de tal forma que evita que mediante correos electrónicos se
instalen software malicioso en las computadoras. El área de Sistemas indica que
todas las computadoras tienen instalado antivirus, pero no realizan monitoreo
para garantizar que aquellos antivirus ese estén actualizando de acuerdo a la
política implementada.
- Existe la política de respaldos de información, en la cual detallan tres frecuencias

de respaldos que se realizan y la información que se respalda en cada una de
responsable del respaldo, fecha, hora y

observaciones en caso de que se llegue a presentar algún evento durante el
proceso de respaldo de información.
- Poseen un servidor Telesynergy para central telefónica en Guayaquil, donde se

encuentra documentada toda configuración concerniente al esquema de conexión
por voz de líneas VoIP, líneas análogas y celulares disponibles, este servicio
actualmente es utilizado por las ciudades de Guayaquil y Quito.
- Se encuentran bloqueados los medios removibles en los computadores de los

funcionarios, con el propósito de evitar la fuga de información, actualmente nos
e realizan ningún tipo de monitoreo que permita garantizar que esta política esté
funcionando correctamente
- Inexistencia de controles de seguridad para el intercambio de información, tanto

de medios físicos como mensajería electrónica, no se tiene implementado ningún
38
control cuando un funcionario por temas laborales requiere intercambiar
información con otras entidades.
- La empresa cuenta con un equipo de mensajeros que son los responsables de

llevar la documentación externa, asegurándose que la documentación enviada
llega al destino indicado. Se lleva un registro donde constan las firmas de las
personas externas que recibieron la documentación.
- No existe monitoreo de los registros de auditoría que producen las actividades

realizadas en los sistemas, consideran que no es necesario revisar aquello.
Control de acceso
- No existe una política que establezca controles de seguridad para el control de

accesos.
- El área de Sistemas es la encargada de dar acceso a los diferentes aplicativos que
- En ninguna documentación se detalla que el aplicativo Financiero debe ser

únicamente utilizado por el área de Contabilidad. El área de Sistemas no ha
considerado importante que el aplicativo maneje el cambio de contraseña, pues
como lo utilizan desde hace varios años las mismas personas y nunca ha ocurrido
algún incidente de seguridad con este aplicativo, no ven factible implementar el
cambio de contraseña.
- El área de Recursos Humanos y el personal de Verificaciones telefónicas tienen

acceso de modificación
que significa un alto riesgos de integridad de datos que debería ser de uso
exclusivo del área de Recursos Humanos. No existe una evaluación correcta de
los accesos y privilegios que deben tener cada área.
39
- Debido a la alta demanda de bloqueo de las estaciones de trabajo, el área de
Sistema delego a cada Supervisor de área, la actividad de desbloqueo, es decir
que cada Supervisor para que puedan desbloquear a las estaciones de trabajo de
los usuarios y que sigan inmediatamente con sus actividades normales.
- No existe un mecanismo que permite bloquear automáticamente las estaciones

de trabajo cuando se encuentran desatendidas. Son pocos los funcionarios que
bloquean sus computadoras cuando necesitan salir de su puesto de trabajo.
- Se tiene establecido la utilización de mínimo 6 caracteres para la creación de las

contraseñas en los aplicativos, la mayoría de funcionarios utiliza los parámetros
de caracteres establecidos, pero no guardan la confidencialidad debida de sus
contraseñas, pues de vez en cuando las comparten con sus compañeros.
- Las áreas que almacenan información impresa confidencial no cuentan con la

seguridad física requerida, pues la información se encuentra accesible para
cualquier funcionario. Así mismo en los puestos de trabajo se observó que están
llenos de documentación sin archivar y muchas veces son documentos
confidenciales, a pesar de ello la mayoría de funcionarios considera que se
guarda la información pertinente para evitar su daño o pérdida en los gabinetes
con llaves.
- La red de la empresa no se encuentra segmentada, cada usuario de la red puede
aprovecharse de una debilidad de configuración.
- Existen redes inalámbricas (wifi) que es utilizado por la máxima autoridad,

incluyendo Gerentes y Subgerentes, la cual está abierta sin ningún tipo de
seguridad, cualquier funcionario que sepa la clave y usuario puede acceder a ella,
sin quedar videncia alguna.
- Cada funcionario maneja como mínimo tres USER ID, los cambios de
contraseñas son diferentes para cada aplicativo teniendo lo siguiente:
40
Estación de trabajo: cada 35 días
Correo institucional: no pide cambio de contraseña
Sistema ISISystem: cada 25 días
Sistema Financiero: no pide cambio de contraseña
Adquisición, desarrollo y mantenimiento de los sistemas de información
- No existe una política donde se determine los requerimientos de seguridad que

deben ser exigidos para el desarrollo o adquisición de un software. Todo se
centra en que el sistema funcione de acuerdo a lo que se necesita.
- Para la adquisición e implementación de un nuevo aplicativo el área de Sistemas

se encarga de realizar revisiones y pruebas que garanticen que el nuevo
aplicativo funciona de acuerdo a las necesidades del usuario final (funcionario);
en caso de que el personal de desarrollo e implementación de sistemas sea quien
desarrolle un nuevo aplicativo, a más de realizar las pruebas pertinentes elaboran
manuales y entregables.
- Únicamente el personal de desarrollo e implementación de Sistemas está

autorizado a tener acceso al código fuente del sistema en caso de requerirse
alguna modificación; previa aprobación de la jefa de desarrollo e
implementación de sistemas.
- No existe documentación formal donde se registre las actividades que se realizan

en cada instancia (desarrollo, pruebas, capacitación y producción).
- No existe una política formal donde se detalla los controles a implementar para
prevenir la fuga de información, lo que se tiene implementado como medida de
seguridad es la inhabilitación de todo medio extraíble de almacenamiento, este
control se exceptúan para los altos directivos, gerentes y subgerentes.
- No se realiza ninguna acción de monitoreo y control ante posibles

vulnerabilidades técnicas de los sistemas, que permitan dar un trato adecuado a
posibles nuevos riesgos de seguridad
41
Gestión de incidentes en la seguridad de la información
- En el documento de Política y procedimientos de Seguridad de Sistemas de

que ante la sospecha de que la contraseña que haya
sido comprometida deberá notificar inmediatamente el incidente de seguridad al
líder de seguridad o Gerencia de Sistemas, para proceder con el cambio de
ico control en caso de un
incidente de seguridad.
- No existe un procedimiento formal para el manejo de incidentes de seguridad,

por lo cual no se conoce que pasos se debe seguir ante la presencia de un
incidente de seguridad menor y/o grave, en caso de que se llegue a presentar un
incidente de seguridad mayor o grave la única persona que da las indicaciones de
las acciones a tomar es la Gerente de Sistemas.
- En el último año se han reportado al área de Sistemas dos casos de incidentes de

seguridad, uno de ellos los reporto la Jefa de Recursos Humanos, la cual indicó
nombres, apellidos y demás datos de un funcionario, se logró identificar que el

causante de estas modificaciones había sido otro funcionario del área de
Servicios Generales - Verificaciones telefónicas, el cual antes de salir de la
empresa cambió los datos personales de su compañero, acción que se le hizo
indicar que el personal de Verificaciones Telefónica debe tener acceso a este

módulo porque modifica los montos del gestor (monto de gestiones realizadas),
pero lo que es innecesario es que tenga habilitado los demás campos de los datos
del funcionario. El segundo caso fue un problema que sucede cada vez que se va
la luz, en esta ocasión la interrupción fue de 30 minutos, pero el sistema de ups
que ellos poseen les permite estar con electricidad 20 minutos después de que
sucede el corte de luz, es decir que en total estuvieron sin luz 10 minutos y 15
minutos más fueron perdidos pues es el tiempo que se tarda para que se
restablezca los sistemas que utilizan, en total fueron 25 minutos de interrupción
de actividades.
42
- El incidente de seguridad que se presenta frecuentemente en las estaciones de
trabajo es el bloqueo de las estaciones de trabajo, aunque en el último año no se
han presentado tantos incidentes de seguridad sobre este caso.
- Cuando ha presentado algún incidente de seguridad leve, muchos de los

funcionarios se comunican directamente con el área de Sistemas para indicarle el
problema, sin embargo otros prefieren comunicarle al Jefe inmediato para que
sean ellos los encargados de resolver el inconveniente con el área pertinente.
- No se tiene establecidas responsabilidades para la gestión de incidentes, además

no se encuentra detalladas ni registradas las acciones correctivas que se realizan
luego de un incidente de seguridad.
Gestión de la continuidad comercial
- En la Gestión de continuidad de la empresa no se ha considerado la inclusión de

la seguridad de la información., por lo que no se tiene identificado cuales son los
eventos que causan o podrían causar interrupciones en procesos normales de la
empresa, ni el impacto que puede tener la paralización de las actividades que
conllevan a la realización de estos procesos; así como tampoco se tienen
considerado las consecuencias que podrían causar en la seguridad de la
información.
- El área de Sistemas realiza respaldo por demanda los cuales son para proteger
información sensible, en caso de un daño mayor en el centro de datos,
permitiendo de esa manera recuperarse en el menor tiempo posible y continuar
con las actividades propias del negocio.
- En caso de los servidores, se cuenta

el cual detalla los pasos a seguir ante un posible problema o daño en uno o varios
servidores.
43
Nombre de Servidores:
Active Directory (Servidor de red, file server, usuarios operativos)

Base de Datos
Aplicativo COM+ (aplicativo y file server sistemas)
Contingencias (AD/BD)
Cumplimiento
- Todo cumplimiento de responsabilidades y obligaciones dentro de la

empresa está relacionado a la política de la empresa, la cual contempla
requerimientos legales. No poseen lineamientos de seguridad que eviten
incumplimiento por la reproducción, copia o alteración de información sobre
la cual la empresa no tiene derecho de autor, pudiendo esto ocasionar
incumplimientos con la ley.
4.1.5. Matriz de hallazgos y recomendaciones basadas en la situación actual de

la empresa
En la matriz que a continuación se muestra, se detalla los hallazgos y

recomendaciones que permiten mejorar los controles implementados y considerar
controles inexistentes, los cuales están basados en la norma ISO/IEC 27001;
adicionalmente se agrega una columna donde se incorpora que control es necesario
implementar primero de acuerdo a su prioridad.
Tabla 3. Control basado en la ISO 27001 Prioridad
Prioridad Detalle
Se refiere al control que es necesario
considerar primordial en su
Primario
implementación
Se refiere al control que va a reforzar

Secundario
los controles primarios implementados
44
Tabla 4. Matriz de recomendaciones basadas en la situación actual
Área
Dominio Hallazgo Recomendaciones Control basado en la ISO 27001
Responsable
1. Política de Seguridad
Política de Responsable de Inexistencia de un manual Se debe elaborar un manual de A.5.1.1 Políticas de Primario
Seguridad de la Seguridad de políticas de seguridad de Política de Seguridad de la seguridad de la
Información Informática la información Información alineada a las mejores información
prácticas de seguridad, que recoja
todos los controles actualmente
implementados en la empresa,
adicionalmente se debe incluir
nuevos controles de seguridad
acorde a las necesidades de la
empresa.
El manual de las Política de A 5.1.2 Revisión de la Secundario
Seguridad de la Información Política de seguridad
deberá ser puesta en conocimiento de la información
de la máxima autoridad para su
aprobación, y posteriormente debe
ser sociabilizada a todos los
funcionarios de la empresa.
Además el Responsable de
Seguridad Informática deberá
actualizar el manual de Política de
Seguridad de la Información
cuando ocurran cambios
significativos acerca de la
-Todas las áreas Falta de procedimientos e Es importante que dentro de las A.5.1.1 Políticas de Secundario
instructivos documentados áreas exista documentación clara seguridad de la
45
(Procedimientos, Instructivos, log, información
bitácoras) de todas las actividades
que se realizan, a más de llevar un
orden eso ayuda a mantener
registros del trabajo realizado,
establece responsabilidades y
determina que el trabajo se está
realizando de una forma adecuada.
2. Organización de la Seguridad de la Información

Organización Presidente Existe el apoyo de la Es importante continuar con el A 6.1.2 Compromiso Primario
Interna Ejecutivo máxima autoridad para compromiso y la comunicación de la Gerencia con la
temas relacionados con la permanente entre el Responsable Seguridad de la
tecnología e de Seguridad Informática y la Información
implementación de máxima autoridad, para que así se
controles de seguridad. logren mitigar cualquier tema
relacionado con seguridad
informática y seguridad de la
información de forma oportuna.
Comité de la No existe un Comité de Es importante que se conforme un A.6.1.2 Coordinación Primario

Gestión de la Gestión de Seguridad de la Comité de Gestión de Seguridad de la seguridad de la
Seguridad de la información de la Información, pues esto información
Información logrará que se puedan tratar y
profundizar temas que permitan
mejorar el manejo de la
información, así como la mejora de
tiempos de respuesta de los
servicios de sistemas utilizados;
adicionalmente se permitirá
analizar controles de seguridad que
permitan el conocer cómo se lleva
a cabo la seguridad de la
información dentro de la empresa.
46
El Comité debe estar conformado
como mínimo por la Máxima
autoridad, Gerente de Sistemas,
Responsable de seguridad
informática y Secretario
Comité de la Coordinación de temas de Toda coordinación que de temas A.6.1.2 Coordinación Secundario
Gestión de la seguridad entre personal de de seguridad de la información de la seguridad de la
Seguridad de la Sistemas y Gerente de deben ser tratados por la Máxima información
Información Sistemas, solo en casos autoridad, Gerente de Sistemas,
especiales se comunica a la Responsable de seguridad
máxima autoridad informática y en casos extremos
que se necesite la participación de
otras áreas se deberá incluir en las
coordinaciones a los demás
Gerentes de la empresa
Presidente No se tiene designado Se deberá designar formalmente al A.6.1.3 Asignación de Primario

Ejecutivo formalmente a un "Responsable de Seguridad responsabilidades de
"Responsable de Seguridad la Seguridad de la
Informática" las actividades que debe realizar, Información
de tal forma que se encargue de
mitigar todos los temas
relacionados con la seguridad
informática y seguridad de la
información.
Es importante que todos los

funcionarios conozcan quien es el
"Responsable de Seguridad
puedan saber a quién dirigirse

oportunamente en casos de
incidentes de seguridad.
47
Sistemas Inexistencia de proceso de Se debe elaborar un procedimiento A.6.1.4. Proceso de
autorización de utilización de autorización de nuevos sistemas autorización para los
de nuevos sistemas en la empresa, además se debe medios de
incluir un registro donde se pueda procesamiento de
evidenciar la conformidad de la información
utilización del nuevo sistema
dentro de la empresa, por parte del
área que solicita su
implementación.
Responsable de Se incluye en el contrato de El área de Recursos Humanos, A.6.1.5.Acuerdos de Primario

Seguridad los funcionarios una Administrativo y Sistemas en confidencialidad
Informática, cláusula que indica que el coordinación con el Responsable
Recursos trabajador se compromete de Seguridad Informática deberán
Humanos, expresamente a guardar elaborar un acuerdo de
Administrativo, confidencialidad y reserva confidencialidad y no divulgación
Sistemas de la información. de la información para los
funcionarios, proveedores,
contratistas, en el que se debe al
menos detallar lo siguiente:
Compromiso de responsabilidad en
el manejo de la información que se
le proporcione.
Obligación de mantener la reserva

o confidencialidad de la
información durante y después de
su contrato
No reproducir, divulgar, ni copiar

parcial o totalmente la información
que se le proporcione
48
Responsabilidad absoluta de los
daños que pudiesen ocasionarle a
la empresa la pérdida de
información confidencial por mal
manejo o divulgación de la
información.
Además se deberá incluir la

aceptación y entendimiento de lo
expuesto en el acuerdo de
confidencialidad y no divulgación
de la información.
Recursos Contacto apropiado con Se debe actualizar y revisar A.6.1.6 Contactos con Secundario
Humanos, entidades externas periódicamente el listado de autoridades
Responsable de contactos.
Seguridad
Informática
Responsable de No existe contacto con Se debe identificar las empresas A.6.1.7 Contacto con Secundario
Seguridad grupos o empresas que que actualmente estén aplicando grupos de interés
Informática aporten conocimientos, controles de seguridad basados en especial
referentes a seguridad de la las mejores prácticas de seguridad,
información de tal forma que se pueda
intercambiar conocimientos y
opiniones de implementación de
nuevos controles de seguridad
dentro dela empresa.
Responsable de Inexistencia de revisiones Se debe monitorear todos los A.6.1.7 Revisión Secundario
Seguridad independientes de seguridad controles implementados independiente de la
Informática actualmente para garantizar que seguridad de la
estén funcionando correctamente, información
y no deriven ninguna nueva
49
vulnerabilidad.
Es importante realizar revisiones

independientes de la seguridad de
la información para poder
garantizar que los controles
implementados y procedimientos
utilizados para la seguridad de la
información son los adecuados.
Entidades Externas Sistemas, No existe un análisis que Se debe planificar un análisis de A.6.2.1 Identificación Primario
Responsable de permita la identificación de riesgos referente al acceso a la de riesgos
Seguridad riesgos cuando se debe información que tienen las relacionados con
Informática otorgar accesos a terceras terceras, de tal forma que se entidades externas
personas identifique vulnerabilidades que
pueden existir.
Sistemas, No existen controles y Es importante que en caso de A.6.2.2 Tratamiento Secundario

Administrativo, acuerdos de requerir servicios de personal de la seguridad cuando
Responsable de responsabilidades para externo a la empresa, este firme y se trabaja con clientes
Seguridad personal externo que tenga tenga conocimiento de sus
Informática que realizar trabajos dentro responsabilidades y obligaciones A.6.2.3 Tratamiento
de la empresa. en el manejo de la información, de la seguridad en
equipos de procesamiento de la contratos con terceras
información. personas
Adicionalmente de deben
establecer controles de seguridad y
actividades que permitan
identificar posibles riesgos a los
que están expuestos los sistemas
de procesamiento de información
y la información física a la cual
necesitan tener acceso personal
externo que se haya contratado
50
para realizar trabajos dentro de la
empresa.
3. Gestión de Activos
Responsabilidad Propietario de la No poseen inventarios de Se debe elaborar un inventario de A.7.1.1 Inventarios de Primario
por los activos Información inventarios de equipos de activos por cada categoría activos
red, licencias, software, (software, hardware, estructura
periféricos entre otros organizacional), de tal forma que
activos importantes de la se pueda identificar claramente los
empresa activos con los que cuenta
actualmente la empresa.
Presidente No existe un documento Luego de que el Responsable de A.7.1.2 Propiedad de Primario

Ejecutivo formal donde se designen a Seguridad Informática en los activos
los responsables de la coordinación con las áreas
información y de los activos pertinentes, clasifique los activos
asociados con los medios de por categoría, la Máxima autoridad
procesamiento de la deberá designar formalmente a los
información, y demás Propietarios de la Información, los
activos. cuales tendrán la responsabilidad
de actualizar la matriz de activos
que estén a su cargo.
Responsable de Existencia de políticas para Dentro de las políticas de correo A.7.1.3 Uso aceptable Secundario
Seguridad el correo institucional e electrónico institucional y de de los activos
Informática internet. internet se deberá detallar lo que se
debe considerar para el uso
aceptable de correo e internet así
como lo que se considera como
51
uso inaceptable.
Adicionalmente se deberá incluir

controles de uso aceptable del
resto de activos de información.
Clasificación de la Propietario de la No se encuentran Se debe elaborar un catálogo de A.7.2.1 Lineamientos Secundario

información Información, establecidos criterios para clasificación de la información en de clasificación de la
Responsable de la clasificación de la el cual se establezca que información
Seguridad información documentos son confidenciales o
Informática de uso interno.
El Responsable de Seguridad
Informática deberá monitorear el
cumplimiento de elaboración de
este catálogo, el cual
posteriormente deberá ser
socializado a los funcionarios.
Responsable de No se encuentran definidos Se debe elaborar lineamientos para A.7.6.2 Etiquetado y Secundario
Seguridad criterios para la el el etiquetado de información tato manejo de la
Informática etiquetado de la física como lógica, el cual deberá información
información ser actualizado por lo menos cada
6 meses.
4. Seguridad de los Recursos Humanos

Antes del empleo Recursos No tienen documentadas las Se debe documentar y definir los A.8.1.1 Roles y Primario
Humanos, funciones y roles y responsabilidades de los responsabilidades
Administrativo responsabilidades de los funcionarios de la empresa,
funcionarios pasantes o practicantes y
contratistas.
52
Recursos El área de Recursos Se debe documentar el proceso A.8.1.2 Selección Primario
Humanos Humanos tiene definido el actual que se tiene para la
proceso de contratación del contratación de funcionarios A.8.1.3 Términos y
personal, pero no lo tienen condiciones de empleo
documentado, pues es un
proceso que lo siguen a A.8.3.1
partir de que la nueva Jefe Responsabilidades de
de recursos Humanos terminación
labora ahí.
Recursos No establecen Se debe incluir en los contratos las A.8.2.1 Gestión de Primario
Humanos, responsabilidades y obligaciones y responsabilidades responsabilidad
Responsable de obligaciones que deben que tienen que cumplir los
Seguridad tener en referencia a la funcionarios y/ o contratistas,
Informática, seguridad de la información acorde a las políticas de seguridad
Sistemas, de la información.
Administrativo
Durante el empleo Responsable de No existe una adecuada Es necesario que se planifiquen A.8.2.2 Capacitación y Primario
Seguridad capacitación ni capacitaciones tanto para el educación en
Informática conocimiento acerca de los personal que maneja la seguridad seguridad de la
temas relacionado con de la información como para los información
Seguridad de la funcionarios, de tal forma que
información. ambos estén conscientes de las
consecuencias de llegar a perder,
dañar y alterar información
importante de la empresa.
Al menos debe realizarse dos

capacitaciones al año de temas de
seguridad de la información
53
Recursos No existe un procedimiento Es necesario que se elabore un A.8.2.3 Proceso Primario
Humanos, que indique las sanciones procedimiento, clausulas o se disciplinario
Responsable de en caso de faltas cometidas establezcan controles que detallen
Seguridad en la seguridad de los claramente las sanciones que
Informática sistemas de procesamiento tendrá un empleado en caso de
de información o cometer alguna violación en la
información física que seguridad de los sistemas de
manejan. procesamiento de información o
información física que manejan.
Terminación o Recursos No existen procedimientos Se deberá elaborar una lista de A.8.3.2 Devolución de Secundario
cambio del empleo Humanos donde indiquen que antes verificación en el cual se detalle activos
del término de contrato todos los activos fijos que se le
laboral deben devolver los entrega al funcionario al inicio de
activos fijos que se les ha sus actividades, el cual será
entregado al inicio de sus firmado por el funcionario de tal
labores. forma que cuando el funcionario
termine su relación laborar con la
empresa, se verifique que está
entregando los activos que
estuvieron bajo su responsabilidad
y en casos de daños de activos
debe tener su debida justificación.
Recursos No existe un proceso formal Se deberá documentar A.8.3.3 Eliminación Primario

Humanos, para la eliminación de formalmente el proceso de de derechos de acceso
Responsable de derechos de accesos eliminación de accesos, de tal
seguridad forma que el área de Recursos
informática Humanos comunique
oportunamente Responsable de
Seguridad Informática, la salida de
un funcionario con la finalidad de
que los accesos sean eliminados
inmediatamente.
54
5. Seguridad física y ambiental
Áreas Seguras Administrativo El edificio en el que se Debido a que la empresa utiliza A.9.1.1 Perímetro de Primario
encuentra la empresa dos pisos para el funcionamiento seguridad física
alquila dos piso, de las diferentes áreas, siempre que
únicamente en el primer sea posible debe establecer otro
piso es donde se encuentra punto de recepción en el segundo
el área de recepción, no se piso, para prevenir que personal no
supervisa al personal autorizado o ajeno a la empresa
(terceros) que se dirige al ingrese a las áreas sin la
segundo piso. supervisión debida.
Administrativo El área de Sistemas es la Por temas de seguridad física, se A.9.1.2 Controles de Secundario
única área que cuenta con debe considerar la colocación de entrada físicos
un mecanismo de control de mecanismos de accesos en las
acceso por ser considerada entradas de cada área, de tal forma
un área restringida. que se garantice que solo el
personal autorizado ingrese a
dichas áreas
Administrativo Inadecuada separación entre Se debe considerar la correcta A.9.1.3 Seguridad de Primario
las áreas de Caja y Control separación del área de Control de oficinas, habitaciones
de calidad Calidad del área de Cajas, para y medios
evitar que clientes o personal
externo acceda al área de Control
de Calidad sin autorización
Administrativo No existen detectores de Por termas de seguridad de los A.9.1.1 Perímetro de Primario
humo, ni alarmas contra funcionarios, seguridad de la seguridad física
incendios. información y de los equipos de
procesamiento de información, se
debe de contar al menos con A.9.1.4 Protección Secundario
alarmas que detecte humo para así contra amenazas
prevenir daños en casos de externas y ambientales
incendios.
55
Administrativo El sistema de cámaras no es Es importante que la empresa A.9.1.1 Perímetro de Secundario
propio de la empresa, lo monitoree la entrada y salida seguridad física
maneja personal ajeno, pues principalmente de personal externo
el edificio en el que se mediante un sistema de video
encuentran no es propio, lo cámaras.
comparten con más
empresas.
Sistemas El Rack de comunicaciones Es necesario considerar un back up A.9.1.2 Controles de Secundario

así como el UPS se para el manejo de las llaves del entrada físicos
encuentra dentro del área de Data Center en caso de no
Sistemas, en un espacio encontrase el Responsable
A.9.1.5 Trabajo en Primario
físico separado, las llaves principal.
áreas seguras
las tiene únicamente la
Especialista de Redes y De ser posible implementar un
Bases de datos. mecanismos de acceso al área
donde se encuentran estos equipos
Adicionalmente se deben
considerar todas las medidas de
seguridad para el área donde se
encuentra el Rack de
comunicaciones y UPS
Administrativo Las áreas no se pueden Se debe considerar el uso de A.9.1.3 Seguridad de

identificar fácilmente, pues señalamiento en las áreas, en el oficinas, habitaciones
no cuentan con el cual se indique el nombre del área y medios
señalamiento apropiado. para que así todos puedan conocer
Así mismo el área donde donde se encuentra cada área, A.11.6.2 Aislamiento
está el Rack y UPS no además en coordinación con el del sistema sensible
cuenta con la señalética área Sistemas se deberá colocar
56
adecuada. señalética adecuada (no fumar, no
comer, área restringida, entre
otros), dentro y fuera del área
donde se encuentra el rack de
comunicaciones y UPS
Seguridad del Administrativo Todos los equipos están Es necesario que se implementen A.9.1.2 Controles de Secundario
Equipo ubicados dentro de las mecanismos de accesos en las entrada físicos
áreas, de esa forma intentan áreas
limitar los accesos no
autorizados de personas
ajenas a la empresa.
Sistemas Se cuenta con un UPS que Se debe considerar el uso de un A.9.2.2 Servicios Primario
les permite tener energía UPS que les permita tener públicos
eléctrica 20 minutos electricidad cuando el servicio
después que ocurre el corte público tenga fallas, de tal forma
de energía, lo que les que no se paralicen las actividades
permite a los funcionarios normales dentro de la empresa
guardar la información y
apagar las computadoras
para evitar daños
Sistemas Inexistencia de bitácoras Se debe registrar todos los A.9.2.4 Secundario

donde se registren los mantenimientos que se realicen en Mantenimiento de
mantenimientos realizados los sistemas de procesamiento de equipo
a los equipos la información, por lo que se debe
elaborar una bitácora donde se
registre al menos lo siguiente:
.
Responsable, nombre del equipo al
cual se le dio mantenimiento, hora,
fecha, tarea realizada.
57
Sistemas Prohibición de sacar Se debe documentar la prohibición A.9.2.5 Seguridad del Primario
equipos de la empresa. de sacra los equipos de la empresa, equipo fuera del local
además las laptops de la empresa
utilizada por los altos directivos
A.9.2.7 Traslado de Secundario
fuera de la misma, debe contar con
propiedad
todas las medidas de seguridad
como si estuviera dentro de la
empresa. (antivirus, autenticación
de usuario, entre otras)
6. Gestión de las Comunicaciones y operaciones

Procedimientos y Sistemas Inexistencia de Se debe documentar todos los A.10.1.1 Secundario
responsabilidades documentación de los procedimientos de las tareas que se Procedimiento de
operacionales procedimientos de realizan, de tal forma que queden operación
operación registros y la evidencia de las documentados
actividades, cambio o trabajos
realizados en los sistemas de
procesamiento de información
Sistemas Cuentan con un Documentar el procedimiento que A.10.1.2 Gestión de Secundario

procedimiento de Gestión se tiene para la Gestión de cambio
de cambio, pero este no se cambios, y de ser necesario crear
encuentra documentado instructivos donde se pueda
detallar paso a paso las correctas
acciones a seguir.
Sistemas La Jefa de Desarrollo e Se debe tener documentado y A.10.1.3 Segregación Primario

implementación de sistemas definidas cada una de las de deberes
es quien se encarga de responsabilidades que se tiene en
designar al personal que el desarrollo de sistemas
debe participar en cada una
de las fases de producción o
actualización de un sistema.
58
Sistemas, No se encuentra Como una buena práctica se debe A.10.1.4 Separación Primario
Responsable de documentado las definir dentro del manual de de los medios de
Seguridad actividades que deben Políticas de Seguridad de la desarrollo y
Informática realizarse en cada ambiente: Información, las actividades que se operacionales
Desarrollo, Pruebas, deben realizar en cada ambiente
Capacitación y Producción, (Desarrollo, Pruebas, Capacitación
debido a que es la Jefa de y Producción), estos ayudarán a
Desarrollo e llevar un mejor control de las
Implementación de tareas. Además es importante
Sistemas quien se encarga incluir controles de seguridad que
de indicar al personal que indiquen que personal debe
actividades se deben participar en cada ambiente, así se
realizar en cada puede evitar accesos no
fase(ambiente). autorizados o cambios no
autorizados en el sistema de
operación.
Gestión de la Sistemas, El área de Sistemas al En la contratación de servicios A.10.2.1 Entrega de Primario

entrega del servicio Responsable de encargarse de la externos, se debe considerar servicio
de terceros Seguridad contratación de los ciertos criterios de seguridad, de
Informática servicios de terceros, es tal forma que a más que se cumpla
quién define los términos con lo que se esté contratando, se A.10.2.3 Manejar los Secundario
que deben cumplir los pueda garantizar que el servicio cambios en los
proveedores y revisa que lo adquirido no va a generar nuevas servicios de terceros
entregado esté acorde a lo vulnerabilidades de seguridad.
solicitado. Además se pueden incorporan
controles de seguridad para que el
área de Sistemas o Responsable de
Seguridad Informática realice el
monitoreo y revisión periódica del
sistemas o servicio contratado.
59
Sistemas, No se realiza monitoreo de Es importante revisar que los A.10.2.2 Monitoreo y Primario
Responsable de los servicios que proveen servicios que proveen terceras revisión de los
Seguridad terceras partes partes, estén funcionando acorde a servicios de terceros
Informática lo contratado y que no esté
afectado en las actividades diarias.
Toda revisión debe ser registrada y

documentada de tal forma que en
casos de incumplimientos se pueda
tener evidencia y exigirle a los
contratistas que mejoren o arreglen
el servicio ofrecido
Planeación y Sistemas No se realizan análisis de Para prevenir la disponibilidad de A.10.3.1 Gestión de Secundario
aceptación del Gestión de capacidad que los recursos informáticos que capacidad
sistema les permita tener una utiliza la empresa, es importante
proyección del uso de los que se realice por lo menos una
recursos vez al año, la Gestión de
Capacidad, la cual permite realizar
proyecciones del uso de recursos
para asegurar el desempeño óptimo
de los sistemas utilizados.
Responsable de No se tiene definido Se debe definir y establecer A.10.3.2 Aceptación Primario

seguridad criterios de seguridad para criterios de seguridad sobre los del sistema
informática la aceptación del sistema cuales serán revisados todos los
nuevos sistemas o actualizaciones
que se realicen en los sistemas de
tal forma que se garantice que el
sistema que se vaya a poner en
producción no ocasiones nuevas
vulnerabilidades de seguridad.
60
Protección contra Responsable de Se posee mecanismos para Es importante realizar monitoreo a A.10.4.1 Controles Primario
software malicioso Seguridad la detección de software intervalos regulares, de tal forma contra software
y código móvil Informática malicioso en correos que se garantice que las políticas malicioso
entrantes, además a cada aplicadas en los computadores de
computador de la empresa la empresa se encuentren
se le instala antes de funcionando correctamente, por lo
entregarlo al funcionario el que el Responsable de Seguridad
antivirus, pero no se Informática debe elaborar una
realizan acciones de planificación que le permita revisar
monitoreo para verificar y registrar que las políticas de
periódicamente que el seguridad implementadas estén
antivirus esté actualizado. actualizadas y funcionen sin
ningún tipo de problemas.
Respaldo (Back - Sistemas Existe la política de Se debe incorporar en la bitácora A.10.5.1 Back-up o Primario
up) respaldos de información, utilizada para los registros de respaldo de la
en la cual detallan tres respaldos la firma del responsable información
frecuencias de respaldos y conformidad del Gerente de
que se realizan y la Sistemas
información que se respalda
en cada una de ellas. Todas
las tareas de respaldos son
registradas en el documento
responsable del respaldo,

fecha, hora y observaciones
en caso de que se llegue a
presentar algún evento
durante el proceso de
respaldo de información.
61
Gestión de medios Responsable de Se encuentran bloqueados Se sugiere realizar actividades de A.10.7.1 Gestión de Primario
Seguridad los medios removibles en monitoreo para garantizar que esta los medios removibles
Informática los computadores de los política de seguridad esté
funcionarios, con el funcionando correctamente en los
propósito de evitar la fuga computadores de los funcionarios.
de información. A.10.7.2 Eliminación Secundario
Además se debe elaborar de medios
procedimientos para el manejo de
información
A.10.7.3 Primario
Procedimientos de
manejo de la
información
A.10.7.4 Seguridad de Secundario

documentación del
sistema
Intercambio de Sistemas Inexistencia de controles de En el intercambio de información A.10.8.1 Primario

información seguridad para el debe ser considerado controles de Procedimientos y
intercambio de seguridad que permitan garantizar políticas de
información, tanto de la integridad y confidencialidad de información y
medios físicos como los datos físicos o lógicos, pues si software
mensajería electrónica. no se consideran controles
necesarios, este intercambio podría A.10.8.2 Acuerdos de Primario
considerarse como un mecanismo intercambio
de fuga de información.
62
En caso de la información física A.10.8.4 Mensajes Secundario
que debe ser entregada fuera de los electrónicos
límites físicos de la empresa, es
necesario asegurar que el servicio
de mensajería contratado es
confiable y la información enviada
va a llegar a su destinatario de
forma íntegra.
Para el envío de información

lógica se podría considerar la
encriptación de la información, se
podría considerar el uso de firmas
electrónicas.
La empresa cuenta con un Debe elaborarse un procedimiento A.10.8.3 Medios Secundario

equipo de mensajeros que formal donde se indique físicos en tránsito
son los responsables de responsabilidades y actividades
llevar la documentación que deben realizan el personal
externa, asegurándose que encargado de transportar la
la documentación enviada documentación de la empresa
llega al destino indicado.
Se lleva un registro donde

constan las firmas de las
personas externas que
recibieron la
documentación.
Monitoreo Sistemas No existe monitoreo de los En aplicación de las buenas A.10.10.1 Registro de Primario
registros de auditoría de los prácticas se debe revisar a auditoría
sistemas, consideran que no intervalos regulares los registros de
63
es necesario revisar las auditoría de los sistemas de A.10.10.2 Uso del Primario
actividades realizadas en procesamientos de la información, sistema de monitoreo
los sistemas. registros de fallas, entre otros que
permitan detectar actividades no A.10.10.3 Protección Secundario
autorizadas en los sistemas. de la información del
registro
A.10.10.4 Registros Primario

del administrador y
operador
A.10.10.5 Registro de Primario

fallas
A.10.10.6 Secundario
Sincronización de
relojes
7. Control de acceso
Requerimiento Responsable de No existe una política que Se deberá incluir en el manual de A.11.1.1 Política de Primaria
comercial para el Seguridad establezca controles de Políticas de Seguridad de la control de acceso
control del acceso Informática seguridad para el control de Información, una política de
accesos. control de accesos que permita
definir responsabilidades para
identificar, gestionar y mantener
perfiles de los accesos de usuarios
a los diferentes aplicativos
Gestión del acceso Responsable de El área de Sistemas es la Es importante que todo control de A.11.2.1 Inscripción Primario
del usuario Seguridad encargada de dar acceso a seguridad implementado sea del usuario
Informática los diferentes aplicativos revisado y monitoreado, de tal
Sistemas que necesita utilizar el forma que se pueda garantizar que
funcionario mediante el se está cumpliendo con aquellos
controles. Así mismo es
importante que mínimo una vez
64
cada mes se realice la revisión del
cumplimiento de depuración de
cuentas de usuarios que ya no
están siendo utilizadas.
Sistemas El sistema Financiero no Se debe incorporar en el sistema A.11.2.3 Gestión de la Primario

pide cambio de clave Financiero el cambio de clave clave del usuario
mínimo 1 vez al mes
Sistemas El área de Recursos Debido a incidentes de seguridad A.11.2.4 Revisión de Primario

Humanos y el personal de presentados, es necesario que se los derechos de acceso
Verificaciones telefónicas revise los accesos de los del usuario
tienen acceso de funcionarios a los módulos de
modificación al módulo de ISISystem, de tal forma que se
restringa y controle la asignación
funcionarios, lo que de privilegios adecuada, para
significa un alto riesgos de evitar modificaciones o
integridad de datos eliminaciones de información, así
se garantiza que los usuarios solo
podrán modificar o eliminar lo que
esté acorde a las funciones que
desempeña
Responsable de Debido a la alta demanda La gestión de accesos solo debe ser A.11.2.3 Gestión de la Primario
Seguridad de bloqueo de las estaciones manejada por el Responsable de clave del usuario
Informática de trabajo, el área de seguridad informática o un
Sistemas Sistema delego a cada personal designado del área de
Supervisor de área, la Sistemas de tal forma que se
actividad de desbloqueo, es minimicen vulnerabilidades en la
decir que cada Supervisor gestión de claves de usuario
para que puedan
desbloquear a las estaciones
de trabajo de los usuarios y
que sigan inmediatamente
65
con sus actividades
normales.
Responsabilidad Responsable de No existe un mecanismo Como adopción de una buena A.11.3.2 Equipo de Primario
del usuario Seguridad que permite bloquear práctica, se debe implementar un usuario desatendido
Informática automáticamente las mecanismo que permita el bloqueo
Sistemas estaciones de trabajo automático de los computadores
cuando se encuentran cuando están desatendidos.
desatendidas. Son pocos los
funcionarios que bloquean Además el Responsable de
sus computadoras cuando Seguridad Informática debe incluir A.11.3.3 Política de Secundario
necesitan salir de su puesto en las capacitaciones de seguridad pantalla y escritorio
de trabajo. de la información a los usuarios, el limpio
tema de bloqueo de computadoras
cuando no estén haciendo uso de
ellas, en especial cuando no están
en sus puestos de trabajo.
Responsable de Se tiene establecido la Incluir en las capacitaciones de A.11.3.1 Uso de clave Primario
Seguridad utilización de mínimo 6 seguridad de la información a los
Informática caracteres para la creación usuarios, el tema de
de las contraseñas en los confidencialidad de las contraseñas
aplicativos, la mayoría de que manejan los usuarios
funcionarios utiliza los
parámetros de caracteres
establecidos, pero no
guardan la confidencialidad
debida de sus contraseñas,
pues de vez en cuando las
comparten con sus
compañeros.
66
Responsable de Las áreas que almacenan Se debe adoptar controles de A.11.3.3 Política de Secundario
Seguridad información confidencial no seguridad que permitan pantalla y escritorio
Informática cuentan con la seguridad concientizar a los funcionarios, se limpio
física requerida. sugiere implementar una política
de pantallas y escritorios limpios,
de esta forma se minimizan riesgos
de fuga de información.
Control de acceso a Sistemas La red de la empresa no se Se debe crear un segmento de red A.10.6.1 Controles de Primario
redes encuentra segmentada, cada específicamente para red
usuario de la red puede administración de servidores y otro
acceder libremente a las segmento de red donde solamente A.10.6.2 Seguridad de
de los servidores lo que los usuarios tengan acceso y a los los servicios de red
ocasiona que pudiesen servicios de red de la empresa, así
aprovecharse de una como incorporar controles para A.11.4.1 Política sobre Primario
debilidad de configuración. salvaguardar la confidencialidad y el uso de servicios en
datos que pasan por las redes red
locales e inalámbricas.
A.11.4.3 Primario
Es necesario establecer dentro del Identificación del
manual de políticas de seguridad equipo en red
de la información controles sobre
el uso de servicios de red A.11.4.5 Segregación Primario
en redes
A.11.4.6 Control de Primario

conexión de redes

routing de redes
Sistemas Existen redes inalámbricas Siempre que sea posible se deberá A.10.6.1 Controles de
Primario
(wifi) que es utilizado por mantener registros de accesos a la red
la máxima autoridad, red wifi que permita detectar
incluyendo Gerentes y accesos no autorizados a la misma. A.10.6.2 Seguridad de Primario
Subgerentes, la cual está los servicios de red
67
abierta sin ningún tipo de A.11.4.1 Política sobre Primario
seguridad, cualquier el uso de servicios en
funcionario que sepa la red
clave y usuario puede
acceder a ella, sin quedar A.11.4.3 Primario
videncia alguna. Identificación del
equipo en red
A.11.4.5 Segregación Primario

en redes

conexión de redes

routing de redes
Control de acceso Sistemas Cada funcionario maneja Se sugiere que se sincronicen los A.11.5.1 Primario
al sistema de como mínimo tres USER identificadores de los usuarios Procedimiento de
operación ID ISISystem con la estación del registro en el terminal
trabajo, para evitar la creación de
varios usuarios innecesarios para A.11.5.2 Primario
un mimo funcionarios, lo cual Identificación del
dificulta dificulten el monitoreo de usuario
estas cuentas. Además en
aplicación a las buenas prácticas A.11.5.3 Sistema de Primario
de seguridad se sugiere que todos gestión de claves
los aplicativos pidan cambio de
contraseña por lo menos una vez al A.11.5.4 Uso de Primario
mes. utilidades del sistema
A.11.5.5 Sesión Secundario

inactiva
68
A.11.5.6 Limitación Primario
de tiempo de conexión
8. Adquisición, desarrollo y mantenimiento de los sistemas de información
Requerimiento de Sistemas, No existe una política El área de Sistemas en A.12.1.1 Análisis y Primario
seguridad de los Responsable de donde se determine los coordinación con el Responsable especificación de los
sistemas Seguridad requerimientos de seguridad de Seguridad Informática deberá requerimientos de
Informática para el desarrollo o definir y detallar controles de seguridad
adquisición de un sistema seguridad los cuales deben ser
de información exigidos para el desarrollo o A.12.2.1 Validaciones Secundario
adquisición de un software. de entrada
A.12.2.2 Control de Secundario

procesamiento interno
A.12.2.3 Integridad Secundario

del mensaje
A.12.2.4 Validación Secundario

de salida
Seguridad en los Sistemas No existe documentación Es importante definir las A.12.4.1 Control de Primarios
procesos de formal donde se detalle las actividades de cada ambiente de software operacional
desarrollo y soporte actividades que se realizan operación del sistema, para que así
en cada instancia se pueda controlar el ingreso y
(desarrollo, pruebas, manejo del código fuente, A.12.4.3 Control de Secundario
capacitación y producción). únicamente por personal acceso al código
autorizado. fuente del programa
Así mismo se debe elaborar un A.12.5.1 Primario

procedimiento para la gestión de Procedimientos de
cambios tanto para software, base control de cambio
de datos y hardware, que permita
69
registrar el paso del ambiente de A.12.5.2 Revisión Secundario
pruebas a producción, el cual al técnica de las
menos debe reflejar la siguiente aplicaciones después
información: archivos a modificar, de cambios en el
script de base de datos, creación de sistema operativo
directorios, plan de contingencias, A.12.5.3 Restricciones Primario
protocolo de pruebas de sobre los cambios en
verificación del cambio, entre otra los paquetes de
información que se considere software
importante y acorde al cambio A.12.5.5 Desarrollo de Primario
realizado en software, bases de outsourced software
datos o hardware.
Sistemas No existe una política Es primordial que se implemente A.12.5.4 Fuga de Primario
Responsable de formal donde se detalla los una política de fuga de información
Seguridad controles a implementar información que permita
Informática para prevenir la fuga de determinar controles que eviten
información, lo que se tiene perdida de confidencialidad,
implementado como integridad y disponibilidad de la
medida de seguridad es la información, de tal forma que la
inhabilitación de todo empresa no pierda credibilidad, ni
medio extraíble de información importante para la
almacenamiento, este gestión del negocio.
control se exceptúan para
los altos directivos, gerentes El Responsable de Seguridad
y subgerentes Informática debe ser incluir este
tema en la concientización a los
funcionarios.
70
Gestión de Sistemas No se realiza ninguna Se debe elaborar un procedimiento A.12.6.1 Control de Secundario
vulnerabilidad acción de monitoreo y para la gestión de vulnerabilidad vulnerabilidades
técnica control ante posibles técnica que en base a errores técnicas
vulnerabilidades técnicas de públicos conocidos se monitoree
los sistemas, que permitan posible vulnerabilidades en los
dar un trato adecuado a servicios, aplicaciones, sistemas
posibles nuevos riesgos de operativos entre otros que son
seguridad utilizados en la empresa.
9. Gestión de incidentes en la seguridad de la información
Reporte de eventos Responsable de En el último año se han Los incidentes de seguridad A.13.1.1 Reporte de Primario
y debilidades en la Seguridad reportado al área de ocurridos deben documentarse, eventos en la
seguridad de la Informática Sistemas dos casos de para así tener registros con al seguridad de la
información incidentes de seguridad. menos: responsable a quienes ele información
reporto el incidentes, fecha, hora,
detalle de lo ocurrido, solución A.13.1.2 Reporte de Primario
dada, entre otra información que se debilidades en la
considere importante seguridad
Gestión de Responsable de No existe un procedimiento Se debe elaborar un procedimiento A.13.2.1 Primario

incidentes y Seguridad para el manejo de la gestión para la gestión de incidentes, en el Responsabilidades y
mejoras en la Informática de incidentes cual se establezcan procedimientos
seguridad de la responsabilidades y acciones que
información se realizarán en caso de que se
llegue a presentar un incidente de
seguridad mayor
Responsable de No se tiene establecidas Todo incidente de seguridad que se A.13.2.1 Primario

Seguridad responsabilidades para la presente que se considere de tipo Responsabilidades y
Informática gestión de incidentes, medio o alto, debe estar procedimientos
además no se encuentra documentado para que de esa A.13.2.2 Aprendizaje Secundario
definido las acciones forma se puedan establecer un de los incidentes en la
correctivas que se realizan antecedente y poder tomar medidas seguridad de la
luego de un incidente de correctivas, de tal forma que no se información
71
seguridad. presente nuevamente. De ser el A.13.2.3 Recolección Secundario
caso se debe anexar evidencia de de evidencia
lo ocurrido.
10. Gestión de la continuidad comercial
Aspectos de la Sistemas En la Gestión de Es importante que la Gestión de la A.14.1.1 Incluir Primario
seguridad de la continuidad de la empresa continuidad de la empresa se seguridad de la
información de la no se ha considerado la incluyan la seguridad de la información en el
gestión de inclusión de la seguridad de información, de tal forma que se proceso de gestión de
continuidad la información. puedan definir planes de acción en continuidad comercial
comercial caso de daños en los servicios y
aplicaciones críticas del negocio, A.14.1.2 Continuidad Primario
para así contrarrestar comercial y
interrupciones que afecten la evaluación del riesgo
continuidad de las actividades
propias del negocio A.14.1.3 Desarrollar e Secundario
implementar planes de
continuidad
incluyendo seguridad
de la información
A.14.1.4 Marco Primario

referencial para
planeación de la
continuidad comercial
A.14.1.5 Prueba, Secundario

mantenimiento y re-
evaluación de planes
de continuidad
comerciales
72
11. Cumplimiento
Cumplimiento con Sistemas, Legal, No poseen lineamientos de Se debe considerar establecer A.15.1.1 Primario
requerimientos Responsable de seguridad que eviten controles de seguridad para evitar Identificación de
legales Seguridad incumplimiento por la incurrir en incumplimientos con legislación aplicable
Informática reproducción, copia o las leyes vigentes ecuatorianas
alteración de información sobre el derecho de propiedad A.15.1.2 Derechos de Secundario
sobre la cual la empresa no intelectual. propiedad intelectual
tiene derecho de autor (IPR)
Complementariamente se debe
incluir aspectos que permitan el A.15.1.3Protección de Secundario
cumplimiento con las políticas de los registros
la empresa, políticas de seguridad organizacionales
así como el cumplimiento de las A.15.1.5 Prevención Primario
observaciones de los organismos de mal uso de medios
de control que regulan a la de procesamiento de
empresa. información
Además como en la empresa se A.15.2.1 Primario

utiliza las grabaciones de llamadas Cumplimiento con las
para controlar la calidad de políticas y estándares
atención que da el call center a los de seguridad
clientes, se debe incluir controles
de seguridad que prohíban la A.15.3.1 Controles de Primario
duplicación , convertir en otro auditoria de sistemas
formato las grabaciones de llamas. de información
73
4.1.6. Metodología de Análisis de riesgos
La identificación de riesgos es una actividad fundamental a realizar si se quiere

diseñar un Sistema de Seguridad de la Información (SGSI), ya que en primera
instancia es necesario identificar los factores que puedan amenazar a la empresa y
conocer las vulnerabilidades que pueden ser explotadas por las amenazas.
MAGERIT es una metodología que abarca de forma completa, las pautas a seguir
para el análisis de riesgos, a la vez que se encuentran alineadas a los estándares de
gestión de riesgos ISO 27005 e ISO 31000.
4.1.6.1. Fases de ejecución del análisis de riesgos de MAGERIT
1. Identificación de Activos
Se determinan los activos que son de valor significativo para la empresa, en los que
el impacto por la ausencia, deterioro o pérdida del activo se traducen en problemas
para afrontar la continuidad del negocio.
2. Determinar las Amenazas
Identificar todos los factores internos o externos que pueden inferir un daño a los
activos de información de forma predeterminada o accidental con el fin de poder
evaluar la magnitud del deterioro ejercido sobre el activo y la probabilidad de
ocurrencia en la que puede darse.
3. Determinar las salvaguardas
Se debe conocer las salvaguardas desplegadas con el propósito de poder conocer el

impacto al activo de información, aplicando una contramedida a la vulnerabilidad
cuando esta sea explotada, conociendo con mayor exactitud el riesgo a afrontar.
74
Cuando existe una salvaguarda desplegada, estas pueden disminuir el daño sobre el
activo de información y la probabilidad de que una amenaza pueda afectar a la
empresa.
4. Estimación del impacto ejercido por las amenazas
Se debe conocer cuál sería el impacto resultante del daño infringido por la amenaza
cuando esta se materializa de tal forma que se pueda determinar el estado del activo
luego del suceso.
5. Estimación del riesgo
Se determina que el riesgo sobre las amenazas sean estas de carácter potencial
o residual en base la expectativa de ocurrencia de la amenaza, considerando si
existen o no salvaguardas desplegadas.
4.1.7. Análisis de Riesgo
4.1.7.1. Activos de Información
4.1.7.1.1. Propietarios de la Información
de
dirección dentro de cada área, quien tendrá la responsabilidad de otorgar accesos a
los activos de información, tomando en cuenta las funciones que realiza cada
funcionario dentro del área a la cual pertenecen.
4.1.7.1.2. Identificación de activos de Información
Para la identificación de los activos de información y su clasificación se consideró

únicamente las áreas críticas de la empresa, matriz que se obtuvo en coordinación los
directivos de dichas áreas.
Los criterios de clasificación que se utilizaron fueron los siguientes:
75
Tabla 5. Cuadro de clasificación de valores de activos Confidencialidad
Valor Confidencialidad
3 Información que sólo puede ser accedida por

funcionarios que estén autorizados debido al daño que
podría causar si es divulgado dentro o fuera de la
empresa.
2 Información que solo puede ser accedida por

funcionaros la .necesiten para realizar una labor
determinada dentro de la empresa
1 Información que puede ser accedida por cualquier

funcionario sin necesidad de autorización
Tabla 6. Cuadro de clasificación de valores de activos Integridad
Valor Integridad
3 Información cuya modificación sin autorización es

imposible de repararse, deteniendo cualquier
actividad dependiente del activo.
2 Información cuya modificación sin autorización toma

tiempo en exceso en repararse y puede ocasionar un
daño en las actividades realizadas con el activo.
1 Información cuya modificación sin autorización es

posible reparar, pero puede ocasionar un daño sobre
las actividades realizadas con el activo
76
Tabla 7. Cuadro de clasificación de valores de activos - Disponibilidad
Valor Disponibilidad
3 Recurso que no puede ser accedido durante un periodo

corto de tiempo y que podría ocasionar la detención de
las actividades de la empresa.

mediano de tiempo y que podría ocasionar la detención
de las actividades de la empresa.

largo de tiempo y que podría ocasionar la detención de
las actividades de la empresa
77
Tabla 8. Matriz de Activos de Información
Propietario de Activo de Documentos Servicios - Clasificación

Criticidad Área Confidencialidad Disponibilidad Integridad
la Información Información Aplicativos actual
3 Crédito Gerente de Información de Carpeta Cliente: Solicitud y 2 3 3 2
Operaciones Crédito - Datos del anexos del cliente
cliente en el Sistema Contratos
Informes
Aprobaciones
Resoluciones internas
Solicitudes de Crédito
Registro de información
3 Crédito Gerente de Información física Solicitud de crédito física 2 2 3 2

Operaciones de clientes directos Contrato
Pagaré de reserva de dominio
buro de crédito
Proforma de solicitud de
compra
2 Crédito Gerente de Información de Impresión de documentos 2 2 2 2
Operaciones crédito Autorización reimpresión
Instrumentar/reversar el
créditos
Datos de factura
2 Cobranzas Subgerente de Información física Informe de respuestas de 2 1 2 2

Operaciones de Cobranzas - cliente telefónica
Crédito y Datos del cliente Reporte de gestión de
Cobranzas cobranzas
Registro de respuesta de
verificación terrena
78
2 Cobranzas Subgerente de Información para el Gestiones atrasadas 2 2 2 2
Operaciones control de gestión Cobranzas telefónicas
Crédito y Control de cartera
Cobranzas
Reporte de seguimiento
2 Cartera Jefe de Cartera Información de Registro de Información 2 1 2 2

cartera - Datos del Estados de Cuenta, Pagos
cliente
3 Cartera Jefe de Cartera Información de Hoja de negociación 3 3 3 3
Recuperación de Solicitud de postergación de
Cartera vencimiento de cuotas
Control de desembolso
3 Cartera Jefe de Cartera Información de Balance del cliente 3 2 3 3

Reportes para Movimientos de Caja
Gestión de Cartera Depuración de datos
Cupones entregados por cajera
Movimientos de pagos
Reportes de control
Liquidación
Reportes Gerenciales
3 Sistemas Gerente de Información de Servicio de base de datos 2 3 3 3

Sistemas aplicaciones Servicio COM + (aplicativo y
informáticas file server sistemas)
(Software) Servicio de Antivirus
Servicio de red (balanceo AD-
contingencia base de datos)
Ofimática
Sistemas operativo
Servicio de Máquinas Virtuales
79
Servicio de proxy de
navegación y correo
Servicio Firewall GYE/ UIO
Licencias
Aplicativo ISYSystem
Aplicativo Financiero
2 Sistemas Gerente de Información de Equipos de cómputo 2 1 1 2

Sistemas Hardware Router
Switch
Módems
Impresoras
Copiadoras
Servidores
Periféricos
Laptops
3 Sistemas Gerente de Información de redes Central telefónica Telesynergy 3 3 3 3

Sistemas de comunicaciones Central telefónica Telesynergy
IP
Sistema Telecontac
Equipo de acceso remoto
(Teamviewer)
Telesynergy
Red inalámbrica WIFI
Rack de comunicaciones
3 Sistemas Gerente de Soporte de Discos de respaldos 3 2 3 3

Sistemas información Discos virtuales
2 Sistemas Gerente de Equipamiento UPS 2 1 2 1
Sistemas auxiliar
80
Tabla 9. Responsables de Activos de Información - ISISYSTEM
Sistema ISISYSTEM Propietarios de la Información
Módulo Central Gerente de Operaciones Subgerente de Operaciones

Módulo de Crédito Gerente de Operaciones Subgerente de Operaciones
Módulo Cartera Jefa del Cartera Jefe del área Administrativa
Módulo Cobranzas Gerente de Operaciones Subgerente de Operaciones
Módulo Personal Jefe de Recursos Humanos Subgerente de Operaciones
Tabla 10. Responsables de Activos de Información Financiero
Sistema Financiero Propietarios de la Información
Módulo Contabilidad Jefe del área Administrativa Supervisor de Contabilidad

Módulo Cuentas por pagar Jefe del área Administrativa Supervisor de Contabilidad
Módulo Cuentas por cobrar Jefe del área Administrativa Supervisor de Contabilidad
Facturación Jefe del área Administrativa Supervisor de Contabilidad
Bancos Jefe del área Administrativa Supervisor de Contabilidad
81
4.1.7.2. Amenazas, vulnerabilidades, salvaguardas, impacto y riesgo residual de
los activos de información
En la matriz que a continuación se muestra, se puede identificar los riesgos a los que
están expuestos los activos de información de las áreas críticas de Credigestión, de
tal forma que se puedan reforzar e incorporar controles de seguridad que permitan
mitigar todas las vulnerabilidades existentes y poder protegerlos de amenazas
internas y externas, evitando perder datos e información valiosa.
Se utilizó el siguiente criterio para la valoración de criticidad, probabilidad, impacto

y riesgo:
Tabla 11. Valores de criticidad Tabla 12. Valores de la probabilidad
Criticidad Probabilidad
3 Alta 3 Alta
2 Media 2 Media
1 Baja
1 Baja
Tabla 13. Valores del impacto Tabla 14. Valores del Riesgo
Impacto Riesgo
3 Alta 7- 9 Alta
2 Media 4- 6 Media
1 Baja 1-3 Baja
82
Tabla 15. Matriz de Amenazas, vulnerabilidades, salvaguardas, impacto y riesgo residual
Degradación causado por

Amenazas Salvaguardas
Activo Crit. Amenazas Vulnerabilidad Prob. Imp. Rsg.
implementadas
Confd. % Integ. % Disp. %
Información de 3 Modificación 0 100 0 No existen reglamentos de Registros de auditoria 2 3 6

Crédito - Datos intencional de la seguridad que delinean las (Sistema registra las
del cliente en el información responsabilidades y acciones realizadas en el
Sistema sanciones en el daño de la sistema)
Eliminación 0 0 100 2 3 6
información Respaldo de bases de
intencional de
Falta de concientización en datos diarias
información
el uso, manejo e
Fuga de Información 100 0 0 importancia de la 3 3 9
información
Falta de procedimientos
para el manejo de la
información
Información 3 Fuga de Información 100 0 0 Falta de concientización en No existen controles de 3 3 9

física de clientes temas de seguridad de la seguridad
Acceso no 100 0 0 3 3 9
directos información a los
Autorizado
funcionarios
Robo de 100 0 100 Falta de seguridad físicas 1 3 3
Documentos para documentos
confidenciales (archiveros,
caja fuertes)
Falta de mecanismos de
acceso al área
información
83
Información de 2 Fuga de Información 100 0 0 Falta de concientización en No existen controles de 3 2 6
crédito temas de seguridad de la seguridad
Acceso no 100 0 0 3 2 6
información a los
Autorizado
funcionarios
caja fuertes)
acceso al área
Falta de Catálogo de
clasificación de la
información
información
Información 2 Fuga de Información 100 0 0 Falta de concientización en No existen controles de 3 2 6
física de temas de seguridad de la seguridad
Acceso no 100 0 0 3 2 6
Cobranzas - información a los
Autorizado
Datos del cliente funcionarios
caja fuertes)
acceso al área
Falta de Catálogo de
clasificación de la
información
información
84
Información para 2 Fuga de Información 100 0 0 Información física: No existen controles de 3 2 6
el control de Falta de concientización en seguridad
Acceso no 100 0 0 3 2 6
gestión temas de seguridad a los
Autorizado
funcionarios
caja fuertes)
acceso
Información lógica:
No existen reglamentos de
seguridad que delinean las
responsabilidades y
sanciones en el daño de la
información
Falta de concientización en
el uso, manejo e
importancia de la
información
información
Información de 2 Errores y Fallos no 0 100 50 Información física: No existen controles de 2 2 4

cartera - Datos intencionados Falta de concientización en seguridad
del cliente temas de seguridad a los
Fuga de Información 100 0 0 3 2 6
funcionarios
Falta de seguridad físicas
para documentos
caja fuertes)
acceso
85
seguridad que delineen las
responsabilidades y
información
el uso, manejo e
importancia de la
información
información
Información de 3 Errores y Fallos no 0 100 50 Información física: No existen controles de 2 3 6

Recuperación de intencionados Falta de concientización en seguridad
Cartera temas de seguridad a los
Fuga de Información 100 0 0 3 3 9
funcionarios
Acceso no 100 0 0 Falta de seguridad físicas 3 3 9
Autorizado para documentos
Robo de 100 0 50 caja fuertes) 1 3 3
Documentos Falta de mecanismos de
acceso
seguridad que delinean las
responsabilidades y
información
el uso, manejo e
importancia de la
información
86
información
Información de 3 Fuga de Información 100 0 0 Falta de concientización en No existen controles de 3 3 9

Reportes para temas de seguridad de la seguridad
Acceso no 100 0 0 3 3 9
Gestión de información a los
Autorizado
Cartera funcionarios
caja fuertes)
acceso al área
información
Información de 3 Errores de 0 50 0 Inexistencia de Se realizan revisiones y 2 2 3

aplicaciones monitorización procedimientos y controles pruebas supervisando que
informáticas para la Gestión de la el aplicativo funcione
Vulnerabilidades del 0 80 90 1 3 3
(Software) Capacidad adecuadamente.
software
No se tiene documentado Perfiles de seguridad
Caída del sistema 0 0 100 formalmente el definidos. 2 3 6
por agotamiento de procedimiento para la Formulario de solicitud de
recursos Gestión de Cambio. acceso a usuarios.
Además no existen registros Copias de Seguridad.
Abuso de privilegios 100 80 50 (log's) de los cambios que Procedimientos e 3 3 9
de acceso por parte
se realizan instructivos para copia de
del administrador
Inexistencia de inventario seguridad y Configuración
Denegación del 0 0 100 de Software Autorizado de servicios definidos 1 3 3
Servicio Falta de controles de Plan de contingencia de
seguridad para los Servidores
Manipulación no 80 50 50 2 2 5
87
autorizada de ambientes de las etapas en Políticas de restricción de
programas por parte la producción de software correo
del administrador Falta de procedimientos y Políticas de navegación de
gestión para la internet
identificación de
vulnerabilidades técnicas
Información de 2 Fuego (Incendio) 0 0 100 Falta de mecanismos contra Mantenimientos 1 2 2

Hardware incendio, detector de humo semestrales de hardware
Polvo-Humedad 0 0 80 1 2 2
dentro del centro de datos. Control de seguridad que
Avería de Origen 0 50 50 No existen mecanismos prohíbe la salida de 2 1 2
Físico adecuados que provean de equipos de hardware de la
electricidad durante un empresa
Corte del Suministro 0 0 100 corte de energía eléctrica 3 2 6
Eléctrico prolongado.
Robo 100 0 100 Falta de procedimientos y 1 2 2
gestión para la
Errores de 0 0 50 identificación de 2 1 2
actualización/Mante vulnerabilidades técnicas en
nimiento de servidores y computadoras
hardware Falta de mecanismos de
control de acceso en la
mayoría de áreas
Inexistencia de inventario
del hardware que posee la
empresa
Falta de registros de
mantenimiento realizados.
Información de 3 Suplantación de 100 80 50 Falta de procedimientos que Diagrama de conexión de 2 3 6

redes de Identidad prevengan suplantación en los medios de
comunicaciones los medios de comunicación comunicación
Análisis de tráfico 100 0 0 2 3 6
88
No existe encriptación en Instructivo de
Interceptación de 100 0 0 2 3 6
las vías de comunicación configuración central
información
No existe ningún tipo de telefónica
Manipulación de 0 0 100 monitoreo en redes 1 3 3
Configuración Faltan procedimientos que
ayuden en la configuración
Fallo de servicio de 0 0 100 1 3 3
de nuevos recursos de red y
comunicaciones comunicación
Errores y Fallos no 80 80 100 No hay soporte de un 3 3 9
intencionados esquema de red alterno que
permita mantener las
operaciones
No se han determinado
segmentos de segregación
en redes de comunicación
Soporte de 3 Degradación de los 0 0 100 Inexistencia de No existen controles de 2 3 6

información soportes de procedimientos y controles seguridad
almacenamiento de para la Gestión de la
la información Capacidad
Inexistencia del registro de
Avería de Origen 0 0 100 2 3 6
control de cambio de
Lógico
medios de almacenamiento
Equipamiento 2 Avería de Origen 0 0 100 No existen planes de No existen controles de 2 2 4

auxiliar Físico mantenimiento específicos seguridad
89
Figura 5. Respuestas obtenidas de los
funcionarios sobre la existencia de
procedimientos.
(Elaborado por: Kelly Bermúdez, Rafael
Bailón)
Análisis e interpretación
El 30.43% de los funcionarios conocen que existen procedimientos e instructivos

establecidos, el 17.39% no sabe acerca de estos, mientras un 52.16% dice no conocer
nada sobre tales documentos.
Existe un porcentaje de más de la mitad de los funcionarios, que no conocen sobre

los documentos de procedimientos e instructivos del área donde laboran, lo que se
traduce en una falencia en la administración de estos activos.
Pregunta:
¿Conoce si en la empresa existe un responsable o área encargada de la seguridad

informática y seguridad de la información?
Objetivo:
Conocer si los funcionarios de la empresa son conscientes de la existencia del

responsable encargado de la seguridad de la información o similar.
Tabla 18. Apreciación sobre la existencia del responsable de la seguridad informática e

información
Detalle Frecuencia Porcentaje

Si 13 56,52
No 4 17,39
Desconoce 6 26,08
92
El 91.30% de los funcionarios no han recibido capacitaciones y el 8.70% menciona
haber recibido al menos una vez alguna capacitación acerca de la seguridad de la
información.
Por lo que se puede apreciar, que en temas de capacitaciones sobre la seguridad de la

información existe una grave falencia en lo que respecta a la concientización que da
cabida al mal uso de activos de información.
Pregunta:
¿Las contraseñas que utiliza tiene combinación de números, letras y es de más de 10

caracteres?
Objetivo:
Conocer el estado de los sistemas de procesamiento de la información referente a las

medidas mínimas de seguridad que estos deben poseer.
Tabla 21. Seguridad de contraseñas de los funcionarios

Solo Números y más de 10 caracteres 1 4,35
Solo letras y más de 10 caracteres 1 4,35
Números y letras, más de 10 caracteres 3 13,04
Otras 18 78,26
96
El 52.17% de los funcionarios siempre almacena y resguarda los activos de

información, mientras que el 4.35% de los funcionarios sólo cierta información
considera almacenarla adecuadamente, mientras otro 4.35% de funcionarios rara vez
almacena o etiqueta la información, el 39.13% nunca ha dado un buen resguardo de
los activos de información.
Por lo que se puede apreciar, existe la posibilidad de fuga o hurto de información

dado que los funcionarios no tienden a almacenar los activos de información
adecuadamente.
Pregunta:
¿Cuándo tiene algún incidente de seguridad (falla de equipo, bloqueo de contraseña,

pérdida de información) a quién lo notifica? (varias alternativas)
Objetivo:
Conocer de parte de los funcionarios, quién es el responsable de gestionar los

incidentes de seguridad que se originan en la empresa.
Tabla 25. Notificaciones realizadas a quien los funcionarios consideran como responsable de la
seguridad

Gerente de Sistemas 14 60,87
Jefe del área 10 43,48
Altos directivos 0 0
No notifica 0 0
Otros 4 17,39
101
Figura 16. Consideración de los funcionarios
sobre mecanismos de acceso instalados en la
empresa.
(Elaborado por: Kelly Bermúdez, Rafael
Bailón)
El 65.21% de los funcionarios dice que si existen medidas para el acceso físico a las
distintas áreas de la empresa, mientras el 34.78% menciona que tales medidas no
existen.
Por lo cual se puede inferir que puede que existan controles de seguridad pero estos
son mínimos y nos son considerados por todos los funcionarios como medidas
adecuadas de control de acceso.
Análisis e Interpretación de datos sobre la muestra recopilada

específicamente en el área de sistemas.
Pregunta:
¿Existe un área o persona responsable de seguridad informática y seguridad de la

información en la empresa?
Objetivo:
Conocer si los funcionarios del área de sistemas de Credigestión son conscientes de

la existencia del responsable encargado de la seguridad de la información o similar.
Tabla 29. Apreciación sobre la existencia del responsable de la seguridad informática e información.

Si 3 100
No 0 0
Desconoce 0 0
106
El 100% de los funcionarios dice que existen Antivirus, Anti spam, Antispyware y
firewall instalados como medidas de protección a los equipos de procesamiento de la
información.
La empresa cuenta al menos con los mecanismos básicos para detectar y detener
cualquier acción de software malicioso.
Pregunta:
¿Cuáles de los siguientes mecanismos de autenticación utiliza en la empresa?

(Varias alternativas)
Objetivo:
Conocer los mecanismos con los que un funcionario puede identificarse ante los
servicios de procesamiento de la información dispuestos en la empresa.
Tabla 33. Mecanismos de autenticación utilizados en la empresa

Firma electrónica 0 0
Clave de Acceso 3 100
No tiene 0 0
Otros 0 0
111
El 100% de los funcionarios mencionan que si existe un área donde se mantienen

estos activos en una zona restringida.
Se interpreta, que hay áreas especiales con acceso restringido donde solo personal
autorizado por sistemas puede ingresar, y además estas instalaciones cuentan con la
protección requeridas para evitar daños en los equipos centrales de procesamiento
como servidores, ups, etc.
Pregunta:
Si su empresa tiene conexión WIFI, ¿existen restricciones de seguridad para el

acceso de dichas conexiones?
Objetivo:
Conocer si se tienen definidos controles para el acceso a las redes inalámbricas de la

empresa, las cuales suelen ser las más sensibles a ataques externos debido a su
naturaleza.
Tabla 38. Existencia de controles sobre las redes de comunicación inalámbrica instaladas en la
empresa

Si 3 100
No 0 0
117
Otro 33.33% no conoce de la existencia de equipos que provean energía
ininterrumpida.
Se puede entender, que no existe documentación sobre los planes de contingencia o

no existen planes de contingencia que todo el personal de sistemas debe conocer para
poder actuar ante una eventualidad de corte energético, ya que los equipos de energía
continua puede que sí estén instalados de acuerdo a las respuestas obtenidas.
Pregunta:
¿Qué servicios y sistemas considera más críticos en términos de disponibilidad?

(Varias alternativas)
Objetivo:
Conocer si se ha considerado un plan de contingencia donde se haya identificado que

activo de la información tiene mayor relevancia.
Tabla 43. Consideración de los funcionarios de sistemas sobre los servicios críticos

De almacenamiento de datos 0 0
Servicios de comunicación 2 66,67
Sistemas de procesamiento de datos 2 66,67
Otros 1 33,33
123
(Elaborado por: Kelly Bermúdez, Rafael Bailón)
El 100% de los funcionarios del área de sistemas confirma que existen reglas de uso
que son configurados por usuarios para hacer uso de los servicios en red.
La segregación de los permisos por usuario permite un buen control sobre los
recursos a los cuales pueden acceder, en este caso, se tiene bien implementado el
control sobre los recursos de red.
Pregunta:
¿Se mantiene un registro de fallas cuando ocurre algún evento en los sistemas de
procesamiento de información (servidores, computadores, redes, etc.)?
Objetivo:
Identificar si se realiza monitoreo a los sistemas de procesamiento de la información
Tabla 47. Monitoreo de los sistemas de procesamiento de la información

Si 1 33,33
No 2 66,67
128
A través de controles de seguridad basados en la norma ISO/IEC 27001 se
establecen mecanismos adecuados para mitigar riesgos que se puedan presentar
en el uso de los sistemas de información y en el manejo de la información.
Conforme al análisis realizado el cual se basó en los dominios y controles de la

norma ISO/IEC 27001, se comprobó que el establecer controles de seguridad
permiten establecer, medir y mejorar mecanismos que ayudan a procurar el buen uso
que los funcionarios deben darle a los sistemas de procesamiento de información así
como al manejo adecuado de la información física.
Aplicar mecanismos de seguridad mejorará la gestión de la seguridad de la

información.
La empresa bajo estudio a pesar de poseer reglamentos y mecanismos que les

permiten prevenir la ocurrencia de un incidente que afecten los activos de
información, se encuentra en un alto índice de riesgos de seguridad debido a las
vulnerabilidades presentes en las actividades a diario que realizan los funcionarios.
El aplicar mecanismos y controles basados en las buenas prácticas de seguridad, les
ayudará a encaminar la gestión de la seguridad de la información de una forma
adecuada, permitiéndoles así disminuir el nivel de riesgo a los que está expuesta la
información y los sistemas de procesamiento de información
Se podrá establecer el responsable del manejo, monitoreo y seguimiento de la

gestión de seguridad de la información.
Como una de las buenas prácticas principales de seguridad, se encuentra el establecer

y designar al menos a una persona que se encargue de la gestión de la seguridad de la
información dentro de la empresa, de tal forma que se analice y se planifique tiempos
de implementación de controles de seguridad que mitigará los riesgos existentes.
Actualmente la falta de un responsable de seguridad informática y seguridad de la
información no les permite realizar monitoreo constante de todo lo que implica temas
de seguridad de la información, ni seguimiento a los incidentes ocurridos.
131
Se podrá incluir en la cultura organizacional charlas de temas relacionado a
la seguridad de la información.
Uno de los principales objetivos debe ser por empezar a mejorar la cultura
organizacional en temas de seguridad, de acuerdo a encuestas realizadas a los
funcionarios de la empresa se comprobó que la implementación de charlas referentes
a temas de seguridad, les ayudará a mantener informados a los funcionarios sobre la
importancia del buen uso de los activos de información, de tal forma que se dará
cumplimiento a políticas tanto de la empresa como de los controles de seguridad
actualmente implementados.
Se podrá establecer responsabilidades y obligaciones del manejo de la

información de acuerdo a las actividades que realizan las áreas dentro de la
empresa.
Mediante la elaboración del manual de Políticas de Seguridad de la información se

podrá detallar responsabilidades acorde a las actividades que realicen las diferentes
áreas, de tal forma que se logre un trabajo integral en equipo, involucrando a todo el
personal de la empresa, dado que en la actualidad según la información obtenida
como resultado del estudio, no se tienen definidas responsabilidades con respecto a la
Permite mantener documentados y actualizados los procesos, procedimientos

e instructivos de cada área.
En base a los resultados obtenidos, se identificó que la mayoría de áreas no tienen

definidos procedimientos e instructivos que les permita seguir a los funcionarios un
mismo orden de actividades.
La norma ISO/IEC 27001 mediante el dominio Gestión de activos establece como

buena práctica la documentación y actualización periódica de procedimientos, e
instructivos necesarios para el cumplimiento de las actividades propias de las áreas,
los cuales al estar detallados de forma ordenada y organizada, le permite el control al
Gerente o Jefe de área de las actividades realizadas por los funcionarios así como
132
para poder tener evidencias para futuras auditoría externas que se realicen en la
empresa.
A través de los controles de seguridad se puede monitorear posibles

amenazas que afecten los sistemas tecnológicos de la empresa.
Mediante la implementación de mecanismos de seguridad que permitan el monitoreo

del funcionamiento y uso de los sistemas tecnológicos instalados en la empresa, se
puede controlar la integridad de la información que estos almacenan o comunican a
través de los medios y la disponibilidad de los activos de información ya que
actualmente consideramos según los resultados que la gestión de seguridad realizada
sobre estos activos no está siendo adecuadamente realizada.
Mediante controles de seguridad se puede mejorar el ámbito financiero, pues

ayudará a prevenir incidentes de seguridad que puedan incurrir en altos costos
para la empresa.
Potenciar los controles de seguridad en los sistemas de procesamiento de la

información, permite obtener de los sistemas datos claros y precisos , conforme a lo
requiere la empresa y los clientes, minimizando incidentes de seguridad como daño
de aplicaciones, equipos tecnológicos hasta incluso robo o alteración de información,
lo que puede costarle mucho dinero a la empresa; en base al análisis realizado se ha
podido detectar que la ocurrencia de sucesos esporádicos han afectado la integridad
de la información almacenada en los repositorios de datos, ocasionando cierto retraso
en la consulta de la información requerida.
Permite mejorar el aspecto comercial generando credibilidad y confianza

entre sus clientes.
En los últimos años la empresa ha tenido un crecimiento considerable, por lo que

aplicar la norma ISO/IEC 27001, permite mejorar significativamente las operaciones
en la empresa, organizando los esfuerzos realizados en el cumplimiento de objetivos.
El conjunto de todos los controles de seguridad, permite a los altos directivos
garantizar una correcta y adecuada confidencialidad integridad y disponibilidad de
133
datos e información que es valiosa tanto para la empresa como para sus clientes,
aumentando la credibilidad y la confianza de los clientes externos de la empresa.
134
CAPÍTULO V
CONCLUSIONES Y RECOMENDACIONES
5.1. Conclusiones
En conclusión, el análisis realizado demuestra que los activos de información de las

áreas consideradas críticas y la situación actual de la empresa con respecto a la
seguridad de la información, refleja potenciales índices de riesgos, los cuales
exponen a la información a daños, robo o modificaciones que pueden causar un
impacto negativo dentro de las actividades del negocio.
Mediante las recomendaciones indicadas, se pretende que la empresa tome acciones

que le permitan prevenir y detectar oportunamente vulnerabilidades a las que están
expuestos los sistemas de procesamiento de información, así como la información
que es manejada y generada por los funcionarios. La implementación de controles de
seguridad basados en la norma ISO/IEC 27001, les permite mejorar tres
características importantes como son: la confidencialidad, integridad y disponibilidad
de la información.
El elaborar un manual de políticas de seguridad de la información donde se detallen

controles de seguridad acorde a la realidad y necesidades actuales de la empresa, la
constante concienciación a los funcionarios, así como el monitoreo continuo,
encamina a la empresa a la correcta gestión de la seguridad de la información.
La seguridad total no existe, pero gestionar controles de seguridad en el proceso y

manejo de la información, se vuelve un complemento esencial, pues le permite
asegurar información valiosa no sólo de la empresa sino también de los clientes.
5.2. Recomendaciones
Para empezar a tratar los temas de seguridad de la información y seguridad

informática, es importante que se esté consciente de que el trabajo de
implementación y cumplimiento de controles de seguridad es en equipo, e involucra
a todos los funcionarios de la empresa.
135
La concientización en los funcionarios y el compromiso de los altos directivos,
permite que todos empiecen a conocer la importancia que tiene garantizar que la
información de la empresa está siendo manejada y procesada adecuadamente.
La implementación de la gestión de seguridad de la información dentro de la

empresa, es un proceso que nunca termina, pues el éxito se enfoca en la revisión,
monitoreo y seguimiento continuo de todos los controles que se tienen
implementados.
Es importante analizar y planificar la implementación de cada control de seguridad,

pues jamás se debe priorizar un control que solo cause inestabilidad en la seguridad
de los sistemas de procesamiento de información, pues precisamente lo que se busca
es garantizar la disponibilidad, confidencialidad e integridad de estos y no lo
contrario; además se debe tomar en cuenta que no todas las empresas tienen la misma
infraestructura tecnológica ni las mismas necesidades.
Tomando en consideración lo antes indicado se debe
empresa en temas de seguridad; además detalla los controles que permiten mitigar
dades, salvaguardas,
críticas de la empresa, para poder poner en práctica las recomendaciones dadas.
Para una mejor gestión se debe

basado en la seguridad de la información, el cual debe establecer pequeños proyectos
para así llevar acabo la implementación de cada uno de los controles de seguridad
basados en la ISO/IEC 27001 de una forma ordenada y acorde a las necesidades
prioritarias de la empresa y dejando para una segunda fase los controles detallados
como secundarios.
136
CAPÍTULO VI
PROPUESTA
6.1. Datos Informativos de la empresa
Credigestión es una empresa financiera que ofrece un servicio de Gestión Integral de

Cartera, de tal forma que facilita el proceso integral de créditos para que los clientes
realicen ventas seguras y rentables a plazos. (Credigestión, 2013)
Cuentan con 230 empleados entre Guayaquil y Quito.
Figura 37. Ciclo Integral de Crédito

Misión
Satisfacer las necesidades de empresas comerciales, financieras y de servicios, que

buscan un servicio externalizado, para el manejo integral de sus procesos de crédito y
cobranzas. Así nuestros clientes podrán enfocarse en su negocio base y obtener
137
mejores índices de recuperación en su cartera y por lo tanto mejores resultados. Esto
se logra con la ayuda de un sistema tecnológico integrado, nuestra experiencia en el
mercado y la importancia que le damos a nuestros valores (Credigestión, 2013).
Visión
"En el año 2012 Credigestión será reconocida en Ecuador como la mejor empresa de
gestión integral de crédito al consumidor y traspasaremos las fronteras de nuestro
país. Lograremos el liderazgo gracias a nuestro excelente sistema integrado, el
compromiso con nuestros clientes y a la continua auto-motivación que fomentamos
en nuestros colaboradores." (Credigestión, 2013)
Valores
Formalidad y profesionalismo en nuestra gestión.

Honestidad y confidencialidad en el manejo de datos e información.
Incentivar continuamente la auto-motivación de nuestros colaboradores.
Buscar la retroalimentación constante, y reforzar continuamente nuestro
sistema con los nuevos conocimientos que nuestra organización obtiene.
6.2. Antecedentes de la propuesta
Debido al constante crecimiento de Credigestión y a la ocurrencia de ciertos

incidentes de seguridad, nace la necesidad de precautelar la correcta gestión de sus
operaciones y activos de información, de tal forma que se puedan adaptar buenas
prácticas de seguridad con la finalidad de otorgar un servicio confiable y oportuno;
dado al tipo de información que la empresa utiliza de sus clientes.
La norma ISO/IEC 27001 es el medio por el cual la empresa puede iniciar a aplicar
controles de seguridad y buenas prácticas, ya que en esta se consideran objetivos de
control y ciclos que deben de cumplirse para prevenir o menguar la afectación que
puedan ocasionar eventos fortuitos que entorpezcan o detengan las operaciones de la
138
empresa; persiguiendo siempre la mejora continua de los objetivos de control, sea
que ya estén implantados o requieran serlo.
En caso de que la empresa no adapte sus operaciones y no establezca mecanismos de

control, puede darse la ocurrencia de algún suceso que afecte las operaciones, debido
a la falta de confidencialidad, integridad o disponibilidad que puede ocurrir sobre los
activos de información o las operaciones que se realizan sobre estos activos.
6.3. Justificación de la propuesta
Actualmente el aumento de los delitos informáticos en el país permiten tener una

percepción de las amenazas a los que están propensos los sistemas de procesamiento
de información y con ello los datos se ven expuestos a daños irreparables que pueden
causar un gran impacto en el negocio.
Credigestión al igual que las demás empresas manejan a diario información

importante que le genera valor al negocio, la cual tiene diferente nivel de importancia
para cada área, pues lo que puede ser importante o confidencial para un área para
otra puede no ser tan relevante, por esa razón antes de empezar a implementar
controles de seguridad se debe analizar y considerar la situación actual en cuanto a la
seguridad de la información, de tal forma que se puedan mitigar vulnerabilidades y
amenazas a las cuales está expuesta la empresa.
De acuerdo a los resultados obtenidos en el análisis de seguridad de la información y

seguridad informática realizado, se demuestra que los activos de información de
Credigestión se encuentran expuestos a riesgos que podrían ocasionar pérdida de
información. La situación actual refleja que la falta de monitoreo, seguimiento e
implementación de controles expone a la información a la ocurrencia de incidentes
de seguridad.
6.4. Objetivos de la propuesta
6.4.1. Objetivo General
139
Aportar en la disminución del riesgo existente, mediante controles de seguridad que
permitan mitigar y detectar peligros potenciales a los que están expuestos los
sistemas de procesamiento de información, datos y documentación física
confidencial.
6.4.2. Objetivos Específicos
Elaborar un manual de Políticas de Seguridad de la Información

alineadas a las necesidades de la empresa.
Elaborar y documentar procedimientos de seguridad
Reforzar los controles de seguridad implementados en la empresa
Incorporar nuevos controles de seguridad que prevengan la ocurrencia
de nuevas vulnerabilidades.
Monitorear el cumplimiento de controles de seguridad
6.5. Análisis de factibilidad
Con la finalidad de obtener los resultados previstos, es necesario considerar las

siguientes dimensiones para la implementación de la gestión de la seguridad de la
información.
6.5.1. Capacidad Económica
En base al apoyo que el gerente de la empresa está dispuesto a brindar para la

ejecución del plan para la gestión de seguridad de la información, se cuenta con los
recursos económicos necesarios, en la adquisición de equipos o contratación de
personal, por lo cual se considera que por la parte económica es factible que el plan
se desarrolle sin ningún problema.
6.5.2. Capacidad Operativa
Los directivos de la empresa están dispuestos a contratar el personal capacitado para

la gestión de la seguridad de la información y la creación del área responsable de la
empresa, en conjunto a la necesidad de la instalación de equipamiento informático
140
que sirva de apoyo para el monitoreo de los sistemas de procesamiento de la
información, por lo cual se considera que la capacidad operativa no es impedimento
para que a corto plazo se pueda iniciar la ejecución del plan de gestión para la
6.5.3. Capacidad Técnica
Actualmente la empresa no cuenta con personal especializado, pero se prevé que se

realice la contratación inmediata para la ejecución del plan de gestión para la
seguridad de la información, aun así es un factor importante, y puede provocar que
no se pueda ejecutar el plan en la empresa lo que disminuye la factibilidad de
realización.
6.5.4. Disposición del Personal
El personal de la empresa tiene buena disposición en la aceptación de las medidas de

control para la seguridad de la información, pues consideran que es de importancia
precautelar que los activos de la empresa sean manipulados adecuadamente, por lo
cual, es muy factible aplicar en plan en la empresa debido a la aceptación positiva de
los funcionarios respecto al cuidado de los activos de información.
6.6. Fundamentación
Las empresas se sustentan en la información que procesan y manejan a diario, pues

es aquella información la que les permite la toma decisiones. Hoy en día la
información aún se sigue presentando de varias formas, ya sea en proyectos, reportes,
registros e incluso en el conocimiento que posee una persona y no solo en los
sistemas de procesamiento de información, lo que la hace valiosa pero también
vulnerable a incidentes de seguridad.
La implementación de controles de seguridad dentro de una empresa, permite

minimizar aquellas brechas de seguridad que dan paso a la corrupción de la
información, actualmente varias instituciones del país han podido comprobar que
gestionar la seguridad de la información en sus empresas les ha permitido cumplir
141
con organismos los organismos de control que las regulan, un orden dentro de las
actividades que se realizan en el negocio, reducción de incidentes de seguridad, entre
otros aspectos.
El análisis realizado, ayudó a comprobar que la incorporación de controles de

seguridad basada en este caso en la norma ISO/IEC 27001 ayudará a reducir y
mitigar riesgo existente así como reducir la posibilidad de ocurrencia de nuevos
riesgos.
Todos los controles de seguridad que se han recomendado empezar a gestionar se

fundamentan en la norma ISO/IEC 27001, por ser una norma que ayuda a la gestión
de la seguridad de la información, delineando cada paso a seguir para la
implementación de un Sistema de Gestión de Seguridad de la Información que
permite planear, implementar, monitorear y mejorar continuamente los
procedimientos, métodos y proyectos.
6.7. Metodología
La metodología a continuación propuesta está alineada a la norma ISO/IEC 27001 y

corresponde al análisis de seguridad de la información y seguridad informática
realizado, el cual empezó con la identificación de las vulnerabilidades de la situación
actual, así como la evaluación de amenazas, vulnerabilidades, impacto y riesgos de
los activos de información de las áreas que son consideradas críticas en Credigestión.
Para mitigar las vulnerabilidades encontradas se debe definir y priorizar actividades

que conlleven a la aplicación del plan de gestión de la seguridad de la información
mediante la implementación de controles de seguridad. Para esto se ha considerado
las siguientes fases, en las cuales se detallan un conjunto de actividades a ser
realizadas por la empresa.
Primera Fase: Definición
142
Esta primera fase comprende el inicio del plan de gestión de la seguridad de la
información, donde se establecen responsabilidades, estándares y procedimientos
sobre la dirección del plan de gestión de seguridad.
Designar formalmente al Responsable de Seguridad de la información y/o

Seguridad Informática.
Definir y establecer las responsabilidades y objetivos del Responsable de

Seguridad de la información y/o Seguridad Informática.
Conformar el Comité de Gestión de la Seguridad de la Información.
Analizar cada una de las recomendaciones dadas, de tal forma que se dé

prioridad de implementación a los controles de seguridad que puedan
disminuir el riesgo de mayor impacto.
Diseñar el manual de políticas de seguridad de la información en base a los

controles implementados actualmente y considerando nuevos controles que
podrán ser implementados dentro de la empresa.
Establecer los procedimientos e instructivos de seguridad.
Designar formalmente a los Propietarios de los activos de información.
Elaborar un catálogo de Clasificación de la información por área, el cual

debe ponerse en conocimiento de todos los funcionarios (categorización:
confidencial o pública).
Evaluar con personal especializado todo lo referente a requerimientos
legales, tomando en cuenta organismos de control que regulan a la empresa,
leyes ecuatorianas, entre otros.
Segunda Fase: Aplicación
143
Esta fase comprende la aplicación de los controles de seguridad anteriormente
definidos, se realizan las actividades que han sido diseñadas con el propósito de
disminuir el riesgo actual.
Crear e implementar un programa de capacitación para los funcionarios de

la empresa acerca de temas relacionados con la seguridad informática
(charlas, boletines, seminarios, entre otros).
Implementar los controles de seguridad recomendados en la matriz de

situación actual y activos de la información, tomando en cuenta la
protección física y lógica de la información y de los sistemas de
procesamiento de información.
Definir y establecer políticas y responsabilidades sobre la administración de

accesos de los sistemas de información.
Estandarizar los user ID, de tal forma que los funcionarios utilicen un solo
usuario para el ingreso a los diferentes aplicativos de la empresa.
Definir y establecer políticas que detallen el buen uso que se le debe dar a
los activos de la empresa.
Definir procesos que permitan conocer las responsabilidades y obligaciones

de funcionarios, pasantes, practicantes y terceros en cuanto a la seguridad de
la información.
Gestionar el buen uso de las redes y comunicaciones, generando

procedimientos e instructivos.
Definir el proceso para gestionar los cambios que se necesiten realizar en

los aplicativos de la empresa.
Incorporar la seguridad de la información en la Gestión de la continuidad

del negocio.
144
Administrar y registrar los incidentes de seguridad de la información que se
presente.
Analizar la posibilidad de implementación de sistemas de video vigilancia,

detectores de humo, sistemas contra incendios.
Registrar pistas de auditorías en los sistemas de información de la empresa.
Definir un backup para cada funcionario que desempeñe un rol crítico

dentro de las actividades del área de sistemas.
Tercera Fase: Monitoreo
Monitorear la gestión de seguridad de la información, comprobar su eficacia

con la finalidad de poder realizar ajustes al plan de seguridad.
Monitoreo continuo de los controles de seguridad implementados para

prevenir incidentes de seguridad.
Analizar la posibilidad de adquirir herramientas para monitorear las

aplicaciones, redes, código maliciosos, entre otros.
Diseñar y ejecutar los indicadores de gestión de seguridad.
Monitorear el cumplimiento de la gestión del buen uso de los activos.
Monitorear el acceso y buen uso de redes y comunicación.
Monitorear el correcto funcionamiento de servicios prestados por terceros.
Monitorear el cumplimiento de estándares de seguridad del Data-Center.
Registrar el resultado de los monitoreos realizados.
145
Cuarta Fase: Mejora
Mejorar la gestión de seguridad de la información considerando las vulnerabilidades

encontradas luego de monitorear el plan vigente.
Identificar e incorporar mejoras a la gestión de la seguridad de la

información.
Actualizar el manual de políticas de seguridad de la información cuando

ocurran cambios significativos.
Comprobar la eficacia de las mejoras incorporadas.
Comunicar las mejoras realizadas a las máximas autoridades.
Capacitar al personal que maneja la seguridad de la información así como al

personal técnico del área de Sistemas (administradores, desarrolladores,
entre otros).
6.8. Administración
6.8.1. Recurso Humano
A continuación se detalla el personal principal para gestionar la Seguridad de la

información
Personal especializado en seguridad de la información (asesores o

consultores).
Responsable de Seguridad de la Información.
Gerente de Sistemas.
146
Directivos de cada una de las áreas involucradas en la implementación de
controles de seguridad.
Así mismo se debe involucrar a todo el personal de la empresa, dando a conocer los
temas de seguridad de la información, su importancia y beneficios mediante
concientizaciones periódicas.
6.8.2. Cronograma
Se presenta el cronograma como guía de aplicación de la gestión de la seguridad de

la información que cumple con el propósito de mejora continua, en la cual existen
periodos de autoevaluación y reformas consiguiendo disminuir la ocurrencia de
incidentes de seguridad respecto a los activos de información de la empresa.
Tabla 49. Cronograma de Actividades del plan de Seguridad de la información
Actividad Macro Responsable Tiempo Est. (d)
Designar formalmente al Presidente Ejecutivo 8

Responsable de Seguridad de
la información y/o Seguridad
Informática.
Definir y establecer las

responsabilidades y objetivos
del Responsable de Seguridad
de la información y/o
Seguridad Informática.
Conformar el Comité de Responsable de la seguridad de la 7

información y/o seguridad
Gestión de la Seguridad de la
informática
Información.
Analizar cada una de las Comité de la gestión de la seguridad 7

de la información
recomendaciones dadas, de tal
forma que se dé prioridad de
implementación a los controles
de seguridad que puedan
147
disminuir el riesgo de mayor
impacto.
Diseñar el manual de políticas Responsable de la seguridad de la 60 (Actividad

información y/o seguridad periódica)
de seguridad de la información
informática
en base a los controles
implementados actualmente y
considerando nuevos controles
que podrán ser implementados
dentro de la empresa.
Establecer los procedimientos

e instructivos de seguridad.
Designar formalmente a los Comité de la gestión de la seguridad 7

de la información
Propietarios de los activos de
información Presidente Ejecutivo
Elaborar un catálogo de Responsable de la seguridad de la 15

Clasificación de la
informática
información por área, el cual
Propietarios de la información
debe ponerse en conocimiento
de todos los funcionarios
(categorización: confidencial o
pública)
Evaluar con personal Responsable de la seguridad de la 15

especializado todo lo referente
informática
a requerimientos legales,
Área Legal
tomando en cuenta organismos
de control que regulan a la
empresa, leyes ecuatorianas,
entre otros
Crear e implementar un Responsable de la seguridad de la 15

programa de capacitación para
informática
los funcionarios de la empresa
acerca de temas relacionados
con la seguridad informática
(charlas, boletines, seminarios,
148
entre otros)
Implementar los controles de Responsable de la seguridad de la 90

seguridad recomendados en la
informática
matriz de situación actual y
Todas las áreas involucradas
activos de la información,
tomando en cuenta la
protección física y lógica de la
información y de los sistemas
de procesamiento de
información.
Definir y establecer políticas y Responsable de la seguridad de la 15

responsabilidades sobre la
informática
administración de accesos de
Área de sistemas
los sistemas de información.
Estandarizar los user ID, de tal Responsable de la seguridad de la 30

forma que los funcionarios
informática
utilicen un solo usuario para el
Área de sistemas
ingreso a los diferentes
aplicativos de la empresa.
Definir y establecer políticas Responsable de la seguridad de la 15

que detallen el buen uso que se
informática
le debe dar a los activos de la
empresa.
Definir procesos que permitan Responsable de la seguridad de la 15

conocer las responsabilidades
informática
y obligaciones de funcionarios,
Recursos Humanos
pasantes, practicantes y
terceros en cuanto a la
Gestionar el buen uso de las Responsable de la seguridad de la 15

redes y comunicaciones,
informática
generando procedimientos e
Área de sistemas
instructivos.
Definir el proceso para Responsable de la seguridad de la 15

gestionar los cambios que se
informática
149
necesiten realizar en los Área de sistemas
aplicativos de la empresa.
Incorporar la seguridad de la Responsable de la seguridad de la 60

información en la Gestión de
informática
la continuidad del negocio.
Comité de la gestión de la seguridad
de la información
Administrar y registrar los Responsable de la seguridad de la 7 (Actividad

incidentes de seguridad de la
informática
información que se presente
Analizar la posibilidad de Responsable de la seguridad de la 60

implementación de sistemas de
informática
video vigilancia, detectores de
Área de Administrativo
humo, sistemas contra
incendios.
Registrar pistas de auditorías Responsable de la seguridad de la 10

en los sistemas de información
informática.
de la empresa.
Área de sistemas
Definir un backup para cada Responsable de la seguridad de la 10

funcionario que desempeñe un
informática
rol crítico dentro de las
actividades del área de
sistemas.
Monitoreo continuo de los Responsable de la seguridad de la 15 (Actividad

controles de seguridad
informática
implementados para prevenir
incidentes de seguridad.
Analizar la posibilidad de Responsable de la seguridad de la 15

adquirir herramientas para
informática
monitorear las aplicaciones,
redes, código maliciosos, entre
otros.
Diseñar y ejecutar los Responsable de la seguridad de la 20

indicadores de gestión de
informática
seguridad.
150
Monitorear el cumplimiento de Responsable de la seguridad de la 15 (Actividad
la gestión del buen uso de los
informática.
activos
Monitorear el acceso y buen Responsable de la seguridad de la 10 (Actividad

uso de redes y comunicación
informática.
Área de sistemas
Monitorear el correcto Responsable de la seguridad de la 15 (Actividad

funcionamiento de servicios
informática.
prestados por terceros.
Monitorear el cumplimiento de Responsable de la seguridad de la 15

estándares de seguridad del
informática.
Data-Center.
Área de sistemas
Registrar el resultado de los Responsable de la seguridad de la Actividad

información y/o seguridad periódica
monitoreos realizados
informática
Identificar e incorporar Responsable de la seguridad de la 30 (Actividad

mejoras a la gestión de la
informática
Actualizar el manual de Responsable de la seguridad de la Actividad

políticas de seguridad de la
informática
información cuando ocurran
cambios significativos
Comprobar la eficacia de las Responsable de la seguridad de la 10

mejoras incorporadas
informática
Comunicar las mejoras Responsable de la seguridad de la Actividad

realizadas a las máximas
informática
autoridades
Capacitar al personal que Responsable de la seguridad de la 10

maneja la seguridad de la
informática
información así como al
personal técnico del área de
Sistemas (administradores,
desarrolladores, entre otros)
151
REFERENCIAS
Credigestión. (2013). Misión, Visión y Valores organizacionales. Noviembre 10,

2014, Recuperado de: http://www.credigestion.biz/
Credigestión. (2013). Nuestra Operación. Noviembre 10, 2014, Recuperado de:

http://www.credigestion.biz/index.php?option=com_content&view=article&i
d=84&Itemid=88
Credigestión. (2013). El Equipo Credigestión. Noviembre 10, 2014, Recuperado de:

http://www.credigestion.biz/index.php?option=com_content&view=article&i
d=86&Itemid=84
ISO/IEC. (2005). Tecnología de la Información Técnicas de seguridad Sistemas

de gestión de seguridad de la información Requerimientos. Octubre 10,
2014, de ISO/IEC, Recuperado de:
http://www.cva.itesm.mx/biblioteca/pagina_con_formato_version_oct/apawe
b.html
ISOTools Excellence. (2014). ISO 27001. Octubre 10, 2014, de ISOTools Excellence
Recuperado de: http://www.isotools.org/normas/riesgos-y-seguridad/iso-
27001/
ISOTools Excellence. (2014). La Norma ISO 27001 y la importancia de la gestión de
la seguridad de la información. Octubre 10, 2014, de ISOTools Excellence,
Recuperado de: http://www.isotools.org/pdfs/Monografico-ISO-27001-
ISOTools.pdf
Kosutic, D. (2014). La lógica básica de la norma ISO 27001. Noviembre 12, 2014,
de 27001 Academy, Recuperado de:
152
http://www.iso27001standard.com/blog/2014/05/05/the-basic-logic-of-iso-
27001-how-does-information-security-work/#
Kosutic, D. (2014). Qué es norma ISO 27001. Noviembre 15, 2014, de 27001
Academy Sitio web: http://www.iso27001standard.com/es/que-es-iso-27001/
Kosutic, D. (2014). Porque ISO 27001 es importante para su empresa. Noviembre
22, 2014, de 27001 Academy, Recuperado de:
http://www.iso27001standard.com/es/que-es-iso-27001/
Kosutic, D. (2014). Cómo es realmente ISO 27001. Diciembre 8, 2014, de 27001
Academy, Recuperado de: http://www.iso27001standard.com/es/que-es-iso-
27001/
Dirección General de Modernización Administrativa y Procedimientos e Impulso de
la Administración Electrónica. (2012). Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. España, Noviembre 15, 2014,
Recuperado de: https://www.ccn-
cert.cni.es/publico/herramientas/pilar5/magerit/Libro_I_metodo.pdf
Xerox. (2012). SO 27001 Certificaciones Seguridad Comprometidos con el más alto
nivel de seguridad de la información. Diciembre 18, 2014, de Xerox ISO
27001 security certifications, Recuperado de:
https://www.xerox.com/download/security/white-paper/27b1e0-
4b3fde3a23980/ISO-27001-Security-Certification.pdf
153
ANEXO 1
Encuesta acerca de Seguridad Informática dirigida al área de

Sistemas
Nota: Marcar con una X sus respuestas
1. ¿Existe un área o persona responsable de seguridad informática y

seguridad de la información en la empresa?
Sí No
2. ¿Qué tipo de herramientas de seguridad tiene implementado en la

empresa? (se puede seleccionar varias alternativas)
Software
Hardware
No tiene
Otros, indique cuáles
3. ¿Tiene instalado antivirus en los equipos de computación?
Sí No (continuar con la pregunta 5)
4. ¿Qué software utiliza en la empresa para controlar software malicioso?

(se puede seleccionar varias alternativas)
Antivirus
Anti-Spam
Antispyware
Cortafuegos/firewall
5. ¿Cuáles de los siguientes mecanismos de autenticación utiliza en la

empresa? (se puede seleccionar varias alternativas)
Firma electrónica digital

Clave de Acceso
No tiene
154
6. ¿Se realiza un mantenimiento periódico en los sistemas de procesamiento
de información y equipos informáticos?
Sí No (continuar con la pregunta 8)
7. ¿Cada cuánto tiempo realizan mantenimientos en los sistemas de

procesamiento de información? (se puede seleccionar varias alternativas)
Trimestral
Semestral
Mensual
Otros, Indique el período
8. ¿De cuántos computadores dispone su empresa?
20 40 40 60 60 o más
9. ¿Disponen de servidores centrales de datos en la empresa?
Sí No
10. Si su empresa tiene conexión WIFI, ¿existen restricciones de seguridad

para el acceso de dichas conexiones?
Sí No
11. ¿Se realizan respaldo de la información de la empresa?
Sí No (continuar en 13)
12. ¿En caso de que se realice respaldo de información, con qué frecuencia lo
realizan? (se puede seleccionar varias alternativas)
Diaria
Semanal
Mensual
Otros, indique el período
13. ¿Se utilizan mecanismos de bloqueo automático de las estaciones de

trabajo para cuando se encuentran desatendidos?
Sí No
14. ¿Existen equipos que provean de energía ininterrumpida a los servidores

y computadores de los funcionarios?
Sí No
155
15. ¿Qué servicios y sistemas considera más críticos en términos de
disponibilidad? (se puede seleccionar varias alternativas)
De almacenamiento de datos
Servicios de comunicación
Sistemas de procesamiento de datos
16. ¿Dónde se encuentran almacenados los medios de respaldos? (se puede

seleccionar varias alternativas)
Dentro del área de sistemas

Dentro de la empresa, pero fuera del área de sistemas
Fuera de la empresa
No se realizan almacenamientos.
17. ¿Durante el último año tuvieron algún incidente de seguridad grave de la

información?
Sí No Desconoce
18. ¿Se mantiene un registro de fallas cuando ocurre algún evento en los
sistemas de procesamiento de información (servidores, computadores,
redes, etc.)?
Sí No
19. ¿El acceso a internet en la empresa es limitado por? (se puede

seleccionar varias alternativas)
Cargo
Usuario
Indique el mecanismo
Ninguna
20. ¿Posee un plan de contingencia vigente en caso de desastres naturales?
Sí No Desconoce
156
ANEXO 2
Entrevista dirigidas al Departamento de Sistemas
1. ¿La empresa cuenta con un Manual de Política de Seguridad de la

Información?
Si (continuar con la pregunta 2)

No (continuar con la pregunta 4)
2. ¿Cada que tiempo actualiza el Manual de Política Seguridad de la

Información?
3. ¿El Manual de Política de Seguridad de la Información se encuentran

socializadas a todo el personal de la empresa?
4. ¿Se actualizan periódicamente los procedimientos e instructivos

establecidos en el área?

5. ¿Por qué no se actualizan los procedimientos e instructivos del área?
No es necesario
modificarla
No se dispone de
suficiente personal
No lo considera
importante
Otra
6. ¿Existe el apoyo necesario de las máximas autoridades en temas de

tecnología?
Si
No
7. ¿Se realizan campañas periódicamente para dar a conocer temas

relacionados con seguridad de la información?

8. Describa la razón del porqué no se realizan campañas referentes a

157
9. ¿Se tiene establecido perfiles de usuarios de acuerdo a los roles,
responsabilidades para otorgar acceso a los funcionarios?
Si
No
10. ¿Existen criterios para la clasificación de la información?
Si
No
11. ¿Existen controles de seguridad implementados en los aplicativos

utilizados en la empresa?
Nombre de Si/ Forma de Se encuentra Intervalo de

Control No Implementación documentado actualización
Medios extraíbles
de datos
Control de
Accesos:
Creación y
Eliminación de
privilegios de
usuarios
Clasificación de
la información
Traslado de
Propiedad
Gestión de
cambio
Control contra
software
malicioso
Gestión en la
entrega de
servicios de
terceros
Respaldo de
información
158
Control de
Acceso a Internet
Control de
Acceso a correo
Control de
Acceso/Seguridad
de redes
alámbricas e
inalámbricas
Aceptación del
sistema
Gestión de
Incidentes
Derecho de
Propiedad
Intelectual
12. ¿Cuántos USER-ID y contraseñas manejan cada funcionario de la

empresa?
13. ¿Cada cuánto tiempo obliga el sistema a cambiar la contraseña del

correo institucional, estación de trabajo y aplicativos manejados por los
funcionarios?
14. ¿Existe una infraestructura adecuada donde se disponen equipos como

ups, rack?
15. ¿Poseen inventarios de tecnología?
Si
Inventario Intervalo de actualización
Software Licencias
Suite ofimática
Sistemas
Operativos
Aplicativos del
159
negocio
Hardware Equipos móviles
Equipos de
computación
Equipos de red
Dispositivos de
almacenamiento
Otros
16. ¿Cuál es el motivo de no realizar un inventario de los activos de software

y hardware?
17. En caso de haber ocurrido un incidente de seguridad en el último año,

describa lo ocurrido
18. Describa el plan de contingencia en casos de incidentes graves o desastres

naturales
160
ANEXO 3
Entrevista dirigida para las áreas de Credigestión
1. ¿Existen procedimientos e instructivos establecidos en el área?

2. ¿Cada qué tiempo se actualizan los procedimientos?
Mensual
Trimestral
Semestral
Otros
3. ¿Se tiene identificado y categorizado los activos de información del área?
Si
Nombre del activo Categoría(Confidencial, pública,

de uso interno)
No
4. ¿Ha ocurrido algún evento que ha afectado a la continuidad de sus

actividades?
Suceso Tiempo de interrupción
5. ¿Los funcionarios poseen tarjetas de acceso para ingresar al

departamento?

6. ¿Por qué razón los funcionarios no poseen tarjetas de acceso al

departamento?
No las provee la empresa

No son necesarias
No hay sistemas de control
de acceso
Otras
161
7. ¿Se han presentados retrasos o problemas por falta de controles de
seguridad (antivirus no actualizado, la no existencias de restricciones a
internet, entre otros) en los equipos utilizados por los funcionarios del
área?
Problema Criticidad (Alta, media, baja)
8. ¿Quién es la persona responsable de definir los accesos que debe tener

cada funcionario del área?
9. ¿Cuándo se le bloquea el acceso a la estación de trabajo, correo

electrónico o sistema utilizado en el área, a quien solicita ayuda?
10. ¿Ha detectado alguna vez una vulnerabilidad en los aplicativos de la

institución?

11. ¿A quién notificó la vulnerabilidad encontrada?
12. ¿El Departamento de Sistema los capacita para el correcto uso de los
nuevos aplicativos o cuando realiza modificaciones en los aplicativos
existentes?
162
ANEXO 4
Encuesta acerca de Seguridad Informática dirigida al personal

operativo
Nota: Marcar con una X sus respuestas
1. ¿Conoce de qué se trata el tema de Seguridad Informática y Seguridad de la

Información?
Sí No Desconoce
2. ¿Conoce si en la empresa existe un responsable o área encargada de la

seguridad informática y seguridad de la información?
Sí No Desconoce
3. ¿Qué área considera que debe ser responsable de la seguridad de la informática

y de la información? (se puede seleccionar varias alternativas)
Sistemas
Administrativo
Todas las áreas
Otra, cuál?
4. ¿Cuántas capacitaciones ha recibido acerca de temas seguridad de la

información en el último año?
Más de 5 Menos de 5 Nunca ha recibido
5. ¿Las contraseñas que utiliza tiene combinación de números, letras y es de más

de 10 caracteres?
Solo Números y más de 10 caracteres

Solo letras y más de 10 caracteres
Números y letras, más de 10 caracteres
Otras, describa?
6. ¿Ha ocurrido algún incidente de seguridad en su puesto de trabajo en el último

año? (bloqueo de la computadora, pérdida de documentos, daño de
computadora, entre otros)
Sí No Desconoce
163
7. ¿Se le bloquea automáticamente su computadora cuando no la está utilizando?
Sí No Desconoce
8. ¿Guarda en un lugar seguro (caja fuerte, gabinetes con llave) los documentos
confidenciales cuando ya no los está utilizando?
Siempre A veces Casi Nunca Nunca
9. ¿Cuándo tiene algún incidente de seguridad (falla de equipo, bloqueo de

contraseña, pérdida de información) a quién lo notifica? (se puede seleccionar
varias alternativas)
Gerente de Sistemas
Jefe Inmediato
Altos Directivos
No notifica
Otros, cuál?
10. ¿Cree que es necesario aplicar controles de seguridad para evitar robo o daño
de información importante para la empresa?
Totalmente de acuerdo
De acuerdo
Ni de acuerdo ni en desacuerdo
En desacuerdo, porque?
11. ¿Qué documentos que maneja, considera usted que son catalogados como
confidencial o de acceso restringido?
Todos Algunos Ninguno
12. ¿Conoce si existe en la empresa áreas restringidas a las cuales solo pueden
acceder personal autorizado?
Sí No Desconoce
164

Untitled

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Untitled

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Untitled

Cargado por

Copyright:

Formatos disponibles

DECLARACIÓN DE RESPONSABILIDAD Y AUTORIZACIÓN

DE USO DEL TRABAJO DE GRADO

Nosotros Kelly Bermúdez Molina y Rafael Bailón Sánchez autorizamos a la

Srta. Kelly Bermúdez Molina Sr. Edber Bailón Sánchez

Y finalmente a mi segundo papá porque su apoyo, y su disposición en ayudarme

Kelly Bermúdez Molina

Para obtener grandes resultados, hay que realizar grandes sacrificios.

El tiempo es algo que no podemos retomar de nuestras vidas, y lo que a menudo no

A mi madre por acompañarme, cuidarme y comprenderme en todo momento

A mi mejor amiga Gaby, que juntos lograremos lo inalcanzable en nuestras vidas.

A mi familia en general por el apoyo incondicional.

Edber Rafael Bailón Sánchez

Agradecemos a todas las personas que directa o indirectamente colaboraron para la

Ing. Soledad Camposano, Gerente de Sistemas de la empresa Credigestión, por la

A la Universidad Politécnica Salesiana por el nivel de educación implementada en la

Kelly Gabriela Bermúdez Molina

CAPÍTULO 1: PLANTEAMIENTO DEL PROBLEMA

1 Matriz de Operacionalización de Variables 22

1 Cartera Recuperada desde el 2000 al 2013 3

1 Encuesta acerca de Seguridad Informática dirigida al área de Sistemas 154

Mediante la elaboración del análisis de seguridad de la información y seguridad

El análisis estuvo dirigido a una empresa financiera, teniendo como objetivo

La ejecución del análisis de riesgos da a conocer el nivel de impacto que tendría la

By developing the analysis of information security and information security based on

En la actualidad toda empresa se basa en la información para tomar decisiones que

El presente trabajo de Análisis en Seguridad Informática y Seguridad de la

En el primer capítulo se encuentra detallado los principales factores que motivaron a

Las modalidades y tipos de investigación utilizados se describen en el tercer capítulo,

Uno de los capítulos más importantes de esta investigación consistió en la ejecución

En este estudio se presentan la matriz de activos, matriz de riesgo calculado en base a

Finalmente se propone una metodología de implementación, tomando en cuenta lo

1.1. Enunciado del Problema

1.1.1. Factores Estructurales

Credigestión es una empresa de mediana escala en el mercado financiero, tiene como

Figura 1. Cartera Recuperada desde el 2000 al 2013

Figura 2. Clientes Verificados y Calificados desde el 1999 al 2013

Presidente ejecutivo, Vicepresidente ejecutivo, Vicepresidente de

Figura 3. Estructura de funcionarios a nivel nacional

La gestión de las operaciones que realiza Credigestión se llevan a cabo a través de

A pesar de que la empresa se mantiene estable en sus operaciones, nace la necesidad

1.1.2. Factores Intermedios

1.1.3 Factores Inmediatos

La documentación resultante guiará a la empresa para que empiece a alinearse en

¿Cómo se podría minimizar los riesgos de pérdida, daño o alteración de la

1.2.1. Sistematización del problema de investigación

¿De qué forma se podría realizar concienciaciones al personal acerca de temas de

¿Cómo se podría garantizar que la información es manejada de forma adecuada

¿De qué forma se podría proteger adecuadamente los activos organizacionales?

¿De qué forma se podría garantizar la integridad y disponibilidad de los servicios de

¿Qué acciones se deberían tomar ante la ocurrencia un incidente de seguridad en los

1.3. Objetivos de la Investigación

1.3.1. Objetivo General

Analizar los procesos críticos de Credigestión respecto a las gestiones de seguridad

1.3.2. Objetivos Específicos

Conocer la situación actual referente a seguridad informática y seguridad de

Analizar vulnerabilidades de seguridad que pudiesen existir en el manejo de

Identificar posibles riesgos que afecten a la continuidad del negocio.

Determinar salvaguardas que permitan fortalecer los procesos críticos de la

Proveer lineamientos de seguridad para garantizar la confidencialidad,