1

CAPTULO I

INTRODUCCIN
1.1

GENERALIDADES

1.1.1 La sociedad de la informacin

La masificacin del uso de ordenadores en las dos ltimas dcadas
provoc un nuevo cambio en la sociedad; vivimos en la sociedad de la
informacin. En la actualidad es difcil concebir nuestra vida sin la
asistencia de un ordenador para realizar nuestro trabajo, compartir
informacin con entidades financieras y estatales o disfrutar de momentos
de ocio. Ms all de la utilizacin personal de un ordenador, todas las
organizaciones, tanto privadas como estatales sustentan su actividad en el
uso de tecnologas informticas. El desarrollo de las tecnologas
informticas le ha permitido a las organizaciones gestionar de manera muy
eficiente el trnsito y almacenamiento de la informacin
1.1.2 Amenazas informticas
Si bien es cierto que el desarrollo de las tecnologas informticas ha
permitido un flujo gil de la informacin a travs de una organizacin,
tambin es cierto que ha permitido que personas inescrupulosas traten
insistentemente de vulnerar el canal por donde fluye la informacin con el
fin de conseguir datos confidenciales de las organizaciones y as obtener
ventajas competitivas en el mercado donde se desarrollen las actividades
de la empresa vctima como tambin obtener informacin delicada de sus
funcionarios y clientes.
Las amenazas informticas pueden agruparse en los siguientes conjuntos:

Amenazas naturales: debidas a la accin de la naturaleza

Amenazas humanas: eventos que son causados o permitidos por

seres humanos

Amenazas de entorno: debidas a la interaccin de la estructura fsica

de un sistema informtico con el entorno que le rodea (Peltier, 2005).

1.1.3 Seguridad informtica

En respuesta a la presencia de amenazas informticas en toda
organizacin, nace la necesidad de crear polticas de proteccin de la
informacin de la organizacin. Los criterios referentes al tema de la
seguridad informtica se recogen en la familia de normas ISO 2700 que
busca ser un modelo a seguir cuando se requiera gestionar los riesgos
informticos de una organizacin; en general, estas normas pretenden
proveer a cualquier organizacin, indistintamente de su tamao y
naturaleza, herramientas para implementar y operar un Sistema de Gestin
de Seguridad Informtica o ISMS por sus siglas en ingls (ISO / IEC, 2009)
1.2

ANTECEDENTES

1.2.1 Fideval
Fideval es una empresa dedicada a la administracin de fondos y
fideicomisos con presencia en el mercado ecuatoriano desde 1998. La
empresa ha venido manejando una importante cantidad dinero en activos
de terceros, siendo en la actualidad la principal administradora de fondos y
fideicomisos ecuatoriana. La tabla 1.1 muestra la evolucin de la empresa a
travs del tiempo.
Tabla 1.1. Evolucin de la empresa Fideval a travs del tiempo
Ao

Acontecimiento

1998 Creacin de la empresa como parte del grupo financiero

Arseval
2001 Fideval se independiza de Grupos financieros
2005 Fideval

inicia

su

participacin

en

el

proceso

de

titularizacin
2009 Fideval inicia su modelo de gestin en administracin de

fideicomisos masivos
2012 Fideval inicia el proceso de fusin con Fondos Pichincha
2013 Fideval se especializa en fondos de inversin
2014 Fideval lanza el Fondo Fix 90
Nota: Tomado de (Fideval, 2014)
Fideval se ha caracterizado por sus esfuerzos en gestionar de manera
eficiente la informacin de todos sus clientes para lo cual cuenta con un
equipo completo de profesionales dedicados a desarrollar soluciones
informticas que le permita a los clientes disponer de su informacin en
cualquier lugar del mundo (Fideval, 2014).
1.2.2 Gestin de riesgos informticos el Fideval
A pesar de los grandes esfuerzos de la empresa en el rea tecnolgica,
existe una observacin importante: debido a que se encuentra en proceso
de fusin con Fondos Pichincha, la empresa no cuenta con un sistema de
gestin de riesgos informticos integral ya que en la actualidad cada
empresa realiza su propio anlisis de riesgos y toma medidas preventivas
cada una por su cuenta.
Algunos de los problemas que pueden identificarse dentro de la empresa se
mencionan a continuacin:

No existe una valoracin de activos en la empresa

No existen indicadores de las amenazas potenciales sobre los

sistemas de informacin

No se ha estimado el impacto ni el riesgo informtico

No existe un levantamiento de inventario informtico basado en una

metodologa formal

No se ha identificado las vulnerabilidades y amenazas de cada uno

de los activos del inventario

Al no identificar vulnerabilidades y amenazas de activos tampoco se

cuenta con las salvaguardas, por lo tanto no se pueden calcular los
impacto y el riesgo.

1.3

JUSTIFICACIN
Con el creciente uso de tecnologas informticas en empresas que manejan
informacin delicada como es el caso de Fideval, lamentablemente tambin
crece el nmero de antisociales que pretenden apoderarse de manera ilcita
de esta informacin con el fin de sacar provecho propio y perjudicar a la
empresa y sus clientes. La piratera informtica debe ser combatida por los
especialistas en esta rea de cada empresa.
Este proyecto pretende utilizar los conocimientos impartidos en la Carrera de
Ingeniera en Sistemas para proveer a la empresa Fideval de un Sistema de
Gestin de Riesgos Informticos tal que le permita a la empresa
salvaguardar la informacin delicada que maneja tanto propia como de sus
clientes, mantener el flujo de dicha informacin a travs de un canal seguro
de comunicacin y defenderse de ataques malintencionados oportunamente.

1.4

OBJETIVOS

1.4.1 Objetivo General

Realizar un anlisis de riesgos informticos para disminuir el impacto y el
riesgo, mediante el uso de la metodologa MAGERIT v3 en la empresa
Fideval
1.4.2 Objetivos Especficos

Catalogar e identificar los activos de la empresa Fideval

Identificar las vulnerabilidades y amenazas de los activos de la

empresa Fideval

Utilizar las tcnicas de valoracin para el clculo del impacto y riesgo

Elaborar contramedidas que permitan minimizar el impacto y el riego

Utilizar la herramienta PILAR para la obtencin de reportes

1.5

ALCANCE
Este proyecto tiene como objetivo implementar un Sistema de Gestin de
Seguridad Informtica para los sistemas informticos de la empresa Fideval
para asegurar la integridad, disponibilidad, confidencialidad y control de la
informacin de la empresa y sus clientes.
Dentro del desarrollo del proyecto se pretende desarrollar las siguientes
actividades:

Creacin de la matriz de amenazas y vulnerabilidades

Desarrollo de un catlogo de inventarios

Elaboracin del rbol de dependencias

Redaccin del informe de vulnerabilidades

Redaccin del informe de valor de activos

Confeccin de la matriz de relacin de posibles amenazas

Creacin del mapa de riesgos

Redaccin de la declaracin de aplicabilidad

Redaccin de los informes de impacto

Elaboracin del plan de seguridad