Sgsi

Universidad Politcnica de Madrid
Escuela Tcnica Superior de Ingenieros de Telecomunicacin
PLANIFICACIN DE UN SISTEMA DE
GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA SU APLICACIN
EN LA OPERACIN DEL SISTEMA
NACIONAL DE FINANZAS PBLICAS DEL
ECUADOR
TRABAJO FIN DE MSTER
Rolando Coello Neacato
2015
Universidad Politcnica de Madrid
Escuela Tcnica Superior de Ingenieros de Telecomunicacin
Mster Universitario en
Ingeniera de Redes y Servicios Telemticos
TRABAJO FIN DE MSTER
PLANIFICACIN DE UN SISTEMA DE
GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA SU APLICACIN
EN LA OPERACIN DEL SISTEMA
NACIONAL DE FINANZAS PBLICAS DEL
ECUADOR
Autor
Rolando Coello Neacato
Director
Victor A. Villagra
Departamento de Ingeniera de Sistemas Telemticos
2015
Resumen
El presente Trabajo de Fin de Mster plantea el estudio del Esquema Gubernamental

Ecuatoriano de Gestin de Seguridad de la Informacin (EGSI), basado en los estndares
internacionales ISO/IEC 27000, y su aplicabilidad en la operacin del Sistema Nacional
de Finanzas Pblicas del Ecuador (SINFIP).
El estudio se enfoca en la planificacin de un Sistema de Gestin de Seguridad de la

Informacin SGSI, que incluye lo establecido en el EGSI, para su aplicacin en la
Direccin Nacional de Operaciones de los Sistemas de Finanzas Pblicas del Ministerio
de Finanzas del Ecuador.
La planificacin incluye la definicin del alcance del SGSI, polticas generales de

seguridad, anlisis y evaluacin de riesgos aplicados a los activos gestionados por la
Direccin en mencin, y finalmente la seleccin de los objetivos de control y controles
aplicables, tomados estos ltimos del anexo A de la norma ISO/IEC 27001:2013 y del
Anexo 1 del documento del EGSI.
Finalmente se propone un proceso a seguir para la implementacin de objetivos de

control y controles, y sus respectivos procesos especficos, al interno del Ministerio de
Finanzas del Ecuador.
i
Abstract
This Final Master Project consists on studying the Ecuadorian Governmental Schema
for Managing Information Security (EGSI), based on international standard ISO/IEC
27000, and its applicability in the operation of The National System of Public Finance of
Ecuador (SINFIP).
The study focuses on planning an Information Security Management System ISMS,

including the EGSI guidelines, for applying on the National Direction of Operating
National System of Public Finance, belonging this Direction to the Finance Ministry of
Ecuador.
The planning includes defining the ISMS scope, general security policies, risk
analysis and assessment applied to the assets managed for the aforementioned
Direction, and finally, selecting the control objectives and controls from the ISO/IEC
27001:2013 Annex A and EGSI Annex 1.
Finally, the study propose a process to implement control objectives, controls and
their respective specific processes, inside the Finance Ministry of Ecuador.
iii
ndice general
1 Introduccin .................................................................................................................... 1
1.1 Objetivos propuestos ............................................................................................. 2
1.2 mbito de estudio .................................................................................................. 2
1.3 Estructura del documento ..................................................................................... 2
2 Descripcin de la Entidad Pblica de estudio............................................................ 4
2.1 Gestin de innovacin de las finanzas pblicas ................................................ 4
2.2 Escenario del caso de estudio ............................................................................... 6
2.2.1 Infraestructura de TI ...................................................................................... 8
2.2.2 Redes, Comunicaciones y Seguridades ....................................................... 9
2.2.3 Bases de Datos .............................................................................................. 10
2.3 Sistema Nacional de Finanzas Pblicas del Ecuador (SINFIP) ...................... 11
3 Estndar Internacional ISO/IEC 27000 ..................................................................... 13
3.1 Sistema de Gestin de Seguridad de la Informacin....................................... 13
3.1.1 Definicin de Seguridad de la Informacin .............................................. 14
3.1.2 Sistema de Gestin de Seguridad de la Informacin............................... 14
3.2 ISO/IEC 27001:2013, Aspectos fundamentales ................................................ 16
3.2.1 Alcance ........................................................................................................... 16
3.2.2 Contexto de la organizacin ....................................................................... 16
3.2.3 Liderazgo ....................................................................................................... 17
3.2.4 Planificacin .................................................................................................. 18
4 Esquema Gubernamental de Seguridad de la Informacin EGSI ......................... 21
5 Planificacin del SGSI .................................................................................................. 24
5.1 Alcance del SGSI ................................................................................................... 24
5.2 Definicin de la poltica de seguridad ............................................................... 24
5.3 Metodologa de Evaluacin de Riesgos ............................................................ 25
5.4 Establecimiento del contexto .............................................................................. 27
5.4.1 Determinacin de activos y amenazas ...................................................... 28
5.5 Identificacin de riesgos ...................................................................................... 38
5.6 Anlisis de riesgos ................................................................................................ 38
v
5.7 Evaluacin de riesgos .......................................................................................... 51
5.8 Seleccin de los objetivos de control y controles ............................................. 53
5.8.1 Gestin de Comunicaciones y Operaciones ............................................. 53
5.8.2 Control de Acceso......................................................................................... 67
5.8.3 Gestin de la Continuidad del Negocio .................................................... 78
5.9 Declaracin de Aplicabilidad ............................................................................. 82
6 Proceso para implementacin de un objetivo de control........................................ 83
7 Conclusiones ................................................................................................................. 87
8 Bibliografa .................................................................................................................... 90
vi
ndice de figuras
Figura 1. Estructura orgnica funcional del Ministerio de Finanzas ............................. 6

Figura 2. Estructura funcional de la Direccin Nacional de Operaciones de los
Sistemas de Finanzas Pblicas.................................................................................................. 8
Figura 3. Infraestructura tecnolgica de centro de datos, aprovisionamiento de
recursos de TI y respaldos......................................................................................................... 9
Figura 4. Infraestructura tecnolgica de redes, comunicaciones y seguridades de red
..................................................................................................................................................... 10
Figura 5. Sistema de Bases de Datos (Cluster) ................................................................ 10
Figura 6. Interfaz web aplicativo web eSigef .................................................................. 11
Figura 7. Interfaz web aplicativo web SPRYN ................................................................ 12
Figura 8. Interfaz web aplicativo web eByE .................................................................... 12
Figura 9. Estructura de la norma ISO/IEC 27000 ........................................................... 20
Figura 10. Fundamentos de la metodologa de evaluacin de riesgos ........................ 26
Figura 11. Etapas de la metodologa de evaluacin de riesgos .................................... 26
Figura 12. Arquitectura tecnolgica de los servicios y aplicativos web del Ministerio
de Finanzas................................................................................................................................ 28
Figura 13. Gestin del Cambio .......................................................................................... 54
Figura 14. Distribucin de Funciones ............................................................................... 55
Figura 15. Separacin de las instancias de Desarrollo, Pruebas, Capacitacin y
Produccin................................................................................................................................. 56
Figura 16. Controles contra cdigo malicioso ................................................................. 57
Figura 17. Controles contra cdigos mviles .................................................................. 58
Figura 18. Controles de las redes ...................................................................................... 58
Figura 19. Seguridad de los servicios de la red............................................................... 59
Figura 20. Mensajera Electrnica ..................................................................................... 60
Figura 21. Polticas y Procedimientos para el intercambio de informacin................ 61
Figura 22. Acuerdos para el intercambio ......................................................................... 62
Figura 23. Transacciones en lnea ..................................................................................... 63
Figura 24. Registro de auditoras ...................................................................................... 64
Figura 25. Monitoreo de uso del sistema ......................................................................... 65
Figura 26. Proteccin del registro de la informacin ..................................................... 66
Figura 27. Registros del administrador y del operador ................................................. 66
Figura 28. Gestin de privilegios ...................................................................................... 67
Figura 29. Gestin de contraseas para usuarios ........................................................... 68
Figura 30. Revisin de los derechos de acceso de los usuarios .................................... 68
Figura 31. Uso de contraseas ........................................................................................... 69
Figura 32. Equipo de usuario desatendido ...................................................................... 70
vii
Figura 33. Poltica de puesto de trabajo despejado y pantalla limpia ......................... 71
Figura 34. Autenticacin de usuarios para conexiones externas .................................. 72
Figura 35. Proteccin de los puertos de configuracin y diagnstico remoto ............ 72
Figura 36. Procedimientos de registro de inicio seguro................................................. 73
Figura 37. Identificacin y autenticacin de usuarios .................................................... 74
Figura 38. Sistema de gestin de contraseas ................................................................. 75
Figura 39. Computacin y comunicaciones mviles ...................................................... 76
Figura 40. Trabajo remoto .................................................................................................. 77
Figura 41. Inclusin de seguridad de la informacin en el proceso de gestin de
continuidad del negocio .......................................................................................................... 78
Figura 42. Continuidad del negocio y evaluacin de riesgos ....................................... 79
Figura 43. Desarrollo e implementacin de planes de continuidad que incluya la
seguridad de la informacin ................................................................................................... 80
Figura 44. Estructura para la planificacin de la continuidad del negocio................. 81
Figura 45. Pruebas, mantenimiento y revisin de los planes de continuidad del
negocio ....................................................................................................................................... 82
Figura 46. Proceso propuesto para implementacin de objetivos de control ............. 84
viii
ndice de tablas
Tabla 1. Activos del grupo Almacenamiento vs amenazas........................................... 29

Tabla 2. Activos del grupo Procesamiento vs amenazas ............................................... 30
Tabla 3. Activos del grupo Comunicaciones vs amenazas............................................ 31
Tabla 4. Activos del grupo Seguridad vs amenazas....................................................... 32
Tabla 5. Activos del grupo Respaldos vs amenazas....................................................... 33
Tabla 6. Activos del grupo Bases de Datos vs amenazas .............................................. 34
Tabla 7. Activos del grupo Sistemas Operativos vs amenazas ..................................... 35
Tabla 8. Activos del grupo Aplicativos vs amenazas..................................................... 36
Tabla 9. Activos del grupo Informacin vs amenazas ................................................... 37
Tabla 10. Valoracin del Impacto a la materializacin de una amenaza .................... 38
Tabla 11. Valoracin de Probabilidad de Ocurrencia de Amenazas............................ 39
Tabla 12. Niveles CMMI y Necesidades de Salvaguardas ............................................ 39
Tabla 13. Anlisis de Riesgos ............................................................................................. 40
Tabla 14. Evaluacin de Riesgos ....................................................................................... 51
ix
Siglas
EGSI Esquema Gubernamental de Seguridad de la Informacin
NTE Normas Tcnicas Ecuatorianas
INEN Servicio Ecuatoriano de Normalizacin
ISO Organizacin Internacional de Estandarizacin
IEC Comisin Electrotcnica Internacional
SINFIP Sistema Nacional de las Finanzas Pblicas del Ecuador
SGSI Sistema de Gestin de Seguridad de la Informacin
SLA Acuerdos de Nivel de Servicio
CMDB Base de Datos de Gestin de Cambios
UPS Sistema de alimentacin ininterrumpida
IPS Sistema de Proteccin de Intrusos
RAC Cluster de Aplicacin Real de Oracle
eSIGEF Sistema de Gestin Financiera
SPRYN Sistema Presupuestario de Remuneraciones y Nmina
eSByE Sistema de Bienes y Existencias
TI Tecnologas de la Informacin
ISMS Sistema de Gestin de Seguridad de la Informacin (siglas en ingls)
PDCA Plan, Do, Check, Act
MAGERIT Metodologa de Anlisis y Gestin de Riesgos elaborada por el Consejo

Superior de Administracin Electrnica
CMMI Integracin de modelos de madurez de capacidades
xi
1 Introduccin
La Secretara Nacional de la Administracin Pblica de la Repblica del Ecuador,
tiene como sus atribuciones el impulsar proyectos de estandarizacin en procesos,
calidad y tecnologas de la informacin y comunicacin, acorde a lo estipulado en el
artculo 15, letra i) del Estatuto del Rgimen Jurdico y Administrativo de la Funcin
Ejecutiva.
Mediante Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de 2011,

respectivamente, la Secretara Nacional de la Administracin Pblica crea la Comisin
para la Seguridad Informtica y de las Tecnologas de la Informacin y Comunicacin,
para que establezca lineamientos de seguridad informtica, proteccin de
infraestructura computacional y todo lo relacionado con esta, incluyendo la informacin
contenida para las entidades de la Administracin Pblica Central e Institucional del
Ecuador.
La Comisin para la Seguridad Informtica y de las Tecnologas de la Informacin y

Comunicacin desarroll el Esquema Gubernamental de Seguridad de la Informacin
(EGSI), elaborado en base a las normas NTE INEN-ISO/IEC 27000.
Mediante Acuerdo Ministerial No. 166 del 25 de septiembre de 2013, la Secretara

Nacional de la Administracin Pblica dispone a las entidades de la Administracin
Pblica Central, Institucional y que dependen de la Funcin Ejecutiva el uso obligatorio
de las Normas Tcnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestin de
Seguridad de la Informacin. En su artculo 2 se dispone la implementacin del Esquema
Gubernamental de Seguridad de la Informacin (EGSI), que se realizar en cada
institucin de acuerdo al mbito de accin, estructura orgnica, recursos y nivel de
madurez en gestin de Seguridad de la Informacin.
El Esquema Gubernamental de Seguridad de la Informacin (EGSI), est basado en

la norma tcnica ecuatoriana INEN ISO/IEC 27002 para Gestin de la Seguridad de la
Informacin y est dirigido a las Instituciones de la Administracin Pblica Central,
Dependiente e Institucional.
El EGSI establece un conjunto de directrices prioritarias para Gestin de la Seguridad

de la Informacin e inicia un proceso de mejora continua en las instituciones de las
Administracin Pblica. El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino
que marca como prioridad la implementacin de algunas directrices [14].
1
Para cumplir con lo dispuesto, el presente trabajo propone la planificacin de un
Sistema de Gestin de Seguridad de la Informacin, que considere los requisitos
establecidos en el estndar internacional ISO/IEC 27001 y las directrices estipuladas en
el documento del EGSI, para su aplicacin en el rea encargada de la operacin de los
sistemas de finanzas pblicas del Ecuador. A continuacin se detallan los objetivos,
mbito de aplicacin y estructura del presente trabajo.
1.1 Objetivos propuestos

Los objetivos propuestos son:
Realizar el estudio de la familia de estndares internacionales ISO/IEC 27000,

concretamente el estndar internacional ISO/IEC 27001:2013 y su relacin con
el documento de Esquema Gubernamental de Seguridad de la Informacin
EGSI elaborado por la Secretara Nacional de la Administracin Pblica del
Ecuador.
Realizar la planificacin de un Sistema de Gestin de Seguridad de la
Informacin, considerando los requisitos del estndar internacional ISO/IEC
27001:2013 y las directrices del documento del EGSI, aplicado al rea
encargada de la operacin de los sistemas de finanzas pblicas del Ecuador.
Seleccionar objetivos de control y definir controles, de los sugeridos en el
anexo A del estndar internacional ISO/IEC 27001:2013 as como en el
documento del EGSI, para que formen parte del Sistema de Gestin de
Seguridad de la Informacin.
Proponer un proceso general de implementacin de objetivos de control y
controles.
1.2 mbito de estudio

Como se mencion antes, la planificacin del Sistema de Gestin de Seguridad de la
Informacin se realizar tomando como escenario el rea encargada de la operacin de
los sistemas de finanzas pblicas del Ecuador. Esta rea pertenece al Ministerio de
Finanzas del Ecuador y se denomina Direccin Nacional de Operaciones de los Sistemas
de las Finanzas Pblicas.
1.3 Estructura del documento

El presente documento de trabajo de fin de mster est estructurado de la siguiente
forma:
En el captulo 2 se realiza una descripcin del rea de la entidad pblica que sirve de
escenario para la planificacin del Sistema de Gestin de Seguridad de la Informacin.
Concretamente se describen la misin, responsabilidades, productos y procesos
principales de la Direccin Nacional de Operaciones de los Sistemas de Finanzas
2
Pblicas, adems del entorno que le rodea, dentro del Ministerio de Finanzas del
Ecuador.
En el captulo 3 se realiza una revisin general de la familia de estndares

internacionales ISO/IEC 27000, adems de exponer las definiciones y aspectos
importantes acerca de seguridad de la informacin, sistema de gestin de seguridad de
la informacin SGSI y del estndar internacional ISO/IEC 27001:2013.
EL captulo 4 trata sobre una revisin del Esquema Gubernamental de Seguridad de

la Informacin, propuesto por la Secretara Nacional de la Administracin Pblica del
Ecuador y que debe aplicarse en las entidades pblicas ecuatorianas. Se describe sus
fundamentos y relacin con los estndares ISO/IEC 27000.
En el captulo 5, que es el estudio en s, se realiza la planificacin del sistema de

gestin de seguridad de la informacin, para su aplicacin en la Direccin Nacional de
Operaciones de los Sistemas de Finanzas Pblicas del Ecuador, planificacin que incluye
un anlisis y evaluacin de riesgos para con esta informacin definir los objetivos de
control y controles a ser implementados.
El captulo 6 propone un proceso que se seguira, dentro del mbito del Ministerio de
Finanzas del Ecuador, para iniciar la implementacin de los objetivos de control y
controles definidos en el captulo 5. En este proceso propuesto, se muestran las diferentes
reas que deben participar.
En el captulo 7 se exponen las conclusiones al presente trabajo, adems de mencionar

los trabajos futuros que se pueden realizar a partir de este estudio.
3
2 Descripcin de la Entidad Pblica de estudio
Mediante Acuerdo Ministerial No. 254 del 23 de noviembre de 2011, el Ministerio de
Finanzas del Ecuador emite su estatuto orgnico por procesos, en donde se definen la
misin, visin, objetivos y su estructura bsica [10].
La misin del Ministerio de Finanzas es Contribuir al cumplimiento de los objetivos

de desarrollo del pas y a una mejor calidad de vida para las y los ecuatorianos, a travs
de una eficaz definicin, formulacin y ejecucin de la poltica fiscal de ingresos, gastos
y financiamiento pblico, que garantice la sostenibilidad, estabilidad, equidad y
transparencia de las finanzas pblicas.
La visin del Ministerio de Finanzas es Ser el ente rector de las finanzas pblicas,
reconocido como una entidad moderna orientada a brindar servicios pblicos con
calidad y oportunidad a nuestros clientes; integrado por un equipo de personas
competentes y comprometidas con la tica, probidad, responsabilidad, transparencia y
rendicin de cuentas.
La estructura bsica alineada a la misin es:
Procesos Gobernantes: Despacho ministerial de finanzas pblicas, Viceministerio de

finanzas pblicas.
Procesos agregadores de valor relacionados con el diseo, desarrollo, operacin y

mantenimiento de aplicativos y servicios informticos que soportan al Sistema Nacional
de las Finanzas Pblicas: Gestin de innovacin de las finanzas pblicas.
La Gestin de innovacin de las finanzas pblicas se divide en los siguientes

procesos: Gestin nacional de innovacin conceptual y normativa, Gestin nacional de
sistema de informacin de las finanzas pblicas, Gestin nacional de operaciones de los
sistemas de las finanzas pblicas y Gestin nacional del centro de servicios.
2.1 Gestin de innovacin de las finanzas pblicas

El Acuerdo Ministerial No. 254 del 23 de noviembre de 2011 establece como misin
de la Subsecretara de Innovacin de las Finanzas Pblicas el innovar de manera
permanente los conceptos, metodologas, procesos, tecnologas y servicios inherentes al
Sistema Nacional de las Finanzas Pblicas (SINFIP), para contribuir a una mayor
eficiencia y efectividad en la gestin de las finanzas pblicas [10].
Las atribuciones y responsabilidad de la Subsecretara de Innovacin son:
4
Impulsar e implantar las iniciativas de innovacin y modernizacin del
Sistema Nacional de las Finanzas Pblicas.
Promover que la innovacin conceptual de las finanzas pblicas vaya alineada
a las nuevas tecnologas de informacin.
Planificar, definir estrategias, administrar y optimizar el Sistema de
Administracin Financiera y todas sus aplicaciones.
Planificar, promover, supervisar y ejecutar la entrega eficiente de los servicios
que el Sistema Nacional de las Finanzas Pblicas ofrece a los usuarios internos
y externos.
Establecer relaciones estratgicas con otras entidades pblicas para integrar
procesos comunes.
Proveer a los funcionarios pblicos capacitacin y asistencia tcnica,
conceptual y operativa en finanzas pblicas y en el uso del Sistema de
Administracin Financiera y todas sus aplicaciones.
Gestionar el portafolio de proyectos de la subsecretara y su ejecucin.
Realizar anlisis y planificacin de gestin de riesgos y seguridad de la
informacin.
Administrar el sistema oficial de la informacin de las finanzas pblicas y su
amplia difusin.
Las dems previstas en las leyes y reglamentos que rigen la materia; y, las que
le delegue la autoridad.
La Subsecretara de Innovacin est conformada por cuatro Direcciones
nacionales:
Direccin nacional de Innovacin conceptual y normativa

o Misin: Innovar, investigar, proponer e implantar conceptos,
metodologas, procedimientos, soluciones y normas para todos los
componentes del Sistema nacional de las Finanzas Pblicas.
Direccin nacional de sistemas de informacin de las finanzas pblicas
o Misin: Innovar e implementar nuevas tecnologas de informacin y
garantizar la operacin de los sistemas de informacin existentes para
todos los componentes del Sistema nacional de las Finanzas Pblicas.
Direccin nacional de operaciones de los sistemas de las finanzas pblicas
o Misin: Garantizar la operacin, seguridad y disponibilidad de la
infraestructura tecnolgica que soporta a las aplicaciones de software
del Sistema Nacional de las Finanzas Pblicas en cumplimiento a los
acuerdos de niveles de servicio establecidos.
Direccin nacional de centro de servicios
o Misin: Proveer los servicios de asistencia tcnica, conceptual y
operativa en finanzas pblicas a funcionarios pblicos de otras
instituciones y a la ciudadana, impulsando la transformacin de la
5
administracin pblica orientada al servicio y haciendo uso de las
tecnologas de informacin.
La figura 1 muestra la estructura orgnica funcional del Ministerio de Finanzas del

Ecuador, donde se puede visualizar la posicin de la Subsecretara de Innovacin de la
Finanzas Pblicas y sus Direcciones nacionales, una de las cuales ser el escenario de
estudio para la planificacin de un sistema de gestin de seguridad de la informacin.
Figura 1. Estructura orgnica funcional del Ministerio de Finanzas
2.2 Escenario del caso de estudio

El estudio para la aplicacin del SGSI se enfocar en el mbito de la Direccin
Nacional de Operaciones de los Sistemas de las Finanzas Pblicas, dado que se establece
en su misin el garantizar entre otros aspectos la seguridad de la infraestructura
tecnolgica que soporta a los aplicativos de software del SINFIP [10]. Por tanto, a
continuacin se detallan las atribuciones responsabilidades y productos de la
mencionada Direccin:
Garantizar que la infraestructura de tecnologa de informacin satisfaga las

necesidades de negocio del SINFIP y los requerimientos tcnicos de las
aplicaciones.
6
Promover y garantizar el uso del marco de referencia para el diseo y
operacin de los servicios para reducir el riesgo, mejorar la calidad y asegurar
la exactitud de las cargas de trabajo estimadas.
Gestionar la disponibilidad, capacidad, continuidad de operaciones,
seguridad e instalaciones de tecnologa de informacin y de los sistemas del
SINFIP.
Participar en la definicin de SLAs.
Administrar la plataforma de hardware y software base.
Administrar la base de datos de gestin de la configuracin (CMDB).
Gestionar los problemas, cambios, configuraciones y versionado de
plataforma.
Monitorear las operaciones y la produccin de los sistemas.
Gestionar riegos y seguridad de infraestructura tecnolgica de informacin y
de los sistemas del SINFIP.
Coordinar la entrega de servicios con las otras direcciones.
Las dems previstas en las leyes y reglamentos que rigen la materia y, las que
le delegue la autoridad.
Los productos de la Direccin nacional de operaciones de los sistemas de las finanzas

pblicas son:
Portafolio de servicios de tecnologa de la informacin.

Plan, polticas y reportes de seguridad de infraestructura.
Plan, lneas de base, umbrales, alarmas y base de datos de la capacidad de
infraestructura.
Planes de continuidad y recuperaciones de operaciones/tecnologa de
informacin.
Plan de reduccin del riesgo.
Plan, diseo y calendarios de la disponibilidad/recuperacin.
Plan de mantenimiento de las instalaciones.
Base de datos de gestin de la configuracin actualizada.
Informe de administracin tcnica de los contratos.
La figura 2 muestra la estructura funcional de la Direccin Nacional de Operaciones

de los Sistemas de Finanzas Pblicas, en donde est enfocado el presente estudio de
planificacin del SGSI.
7
Direccin Nacional
de Operaciones de
los Sistemas de
Finanzas Pblicas
Infraestructura de Redes,
Comunicaciones y Bases de Datos
TI
Seguridades
Figura 2. Estructura funcional de la Direccin Nacional de Operaciones de los Sistemas de Finanzas

Pblicas
Tomando como referencia las atribuciones de la Direccin, esta se encarga de la

gestin de la plataforma de hardware y software base, que soporta la provisin de los
servicios y aplicativos web del SINFIP. En base a esta premisa se crea su estructura
funcional actual, expuesta en la figura 2.
2.2.1 Infraestructura de TI
El rea de Infraestructura de TI tiene como responsabilidad la gestin de la
infraestructura tecnolgica, que soporta a los aplicativos y servicios web del SINFIP,
compuesta de las siguientes plataformas e instalaciones:
Instalaciones de Centro de Datos

o Sistema de alimentacin elctrica
o Sistemas UPS redundantes
o Generadores elctricos redundantes
o Sistema de Aires Acondicionados de precisin redundantes
o Sistema de Deteccin y Extincin de incendios
o Sistema de control de acceso biomtrico
o Sistema de video vigilancia IP
Plataforma de Aprovisionamiento de Recursos
o Servidores Blade
o Almacenamiento Externo
o Hipervisor Hyper-V de Microsoft
o Sistemas Operativos: Microsoft Windows 2012 Server, Linux Red Hat
o Antivirus
Plataforma de Respaldos
o Librera Virtual
o Librera Fsica (cintas de respaldo)
8
La figura 3 muestra de forma general la infraestructura tecnolgica gestionada por
el rea en mencin:
Librera Fsica
Aprovisionamiento de
(Robtica)
Recursos de TI
Servidor Virtual Servidor Virtual
Windows 2012 Server Red Hat Linux
Respaldos
Hipervisor Hyper-V Microsoft
Servidores Blade Almacenamiento Librera Virtual

Externo
Control de Acceso
Video Vigilancia IP Deteccin y extincin de Incendios
Biomtrico
Centro de Datos
Generadores Acometida Elctrica Aire Acondicionado

UPS Redundantes
Elctricos Precisin
Figura 3. Infraestructura tecnolgica de centro de datos, aprovisionamiento de recursos de TI y

respaldos
2.2.2 Redes, Comunicaciones y Seguridades

El rea de Redes, Comunicaciones y Seguridades tiene como responsabilidad la
gestin de la infraestructura tecnolgica de comunicaciones y seguridades de red, que
proporciona el servicio de conectividad y acceso para los aplicativos y servicios web del
SINFIP. Esta infraestructura est formada por:
Plataforma de Switching
Plataforma de Routing
Plataforma de Firewall e IPS
Plataforma de Balanceo de Carga
Plataforma de Balanceo de IPS
9
La figura 4 muestra de forma general la infraestructura tecnolgica de redes,
comunicaciones y seguridad de red, gestionada por el rea en mencin:
Redes, Comunicaciones
Balanceadores Balanceadores de
y Seguridad de Red de ISP Carga
Switching Routing Firewall e IPS
Figura 4. Infraestructura tecnolgica de redes, comunicaciones y seguridades de red
2.2.3 Bases de Datos

El rea de bases de datos tiene la responsabilidad de gestionar el sistema de Bases de
Datos, que constituye una capa transversal para el funcionamiento de todos los
aplicativos y servicios web del SINFIP. Este sistema lo conforma una Configuracin de
Oracle RAC (Oracle Real Application Cluster).
La figura 5 muestra el esquema de configuracin del sistema de bases de datos.
Figura 5. Sistema de Bases de Datos (Cluster)
10
2.3 Sistema Nacional de Finanzas Pblicas del Ecuador (SINFIP)
El SINFIP comprende el conjunto de normas, polticas, instrumentos, procesos,
actividades, registros y operaciones que las entidades y organismos del Sector Pblico
del Ecuador, deben realizar con el objeto de gestionar en forma programada los ingresos,
gastos y financiamiento pblicos, con sujecin al Plan Nacional de Desarrollo y a las
polticas pblicas establecidas en la Ley [11].
La rectora del SINFIP corresponde al Presidente de la Repblica de Ecuador, a travs

del Ministerio de Finanzas, como ente rector. Para cumplir las atribuciones asignadas al
Ministerio de Finanzas, como ente rector de las Finanzas Pblicas, como son las de dictar
las normas, manuales, instructivos, directrices, clasificadores, catlogos, glosarios y
otros instrumentos de cumplimiento obligatorio por parte de las entidades del sector
pblico para el diseo, implantacin y funcionamiento del SINFIP y sus componentes,
realiz el despliegue de los aplicativos web eSIGEF, SPRYN, eSByE, disponibles en
Internet, a travs de los cuales todas las entidades del sector pblico gestionan sus
ingresos, gastos y financiamiento pblicos.
El aplicativo web eSigef proporciona el servicio de programacin presupuestaria y

evaluacin de ejecucin a las entidades del sector pblico. Su interfaz web se muestra en
la figura 6.
Figura 6. Interfaz web aplicativo web eSigef
11
El aplicativo web SPRYN proporciona el servicio de programacin presupuestaria
de gastos en personal, y la respectiva evaluacin de su ejecucin a travs de la gestin
desconcentrada de la nmina y su posterior afectacin financiera en el eSigef. La figura
7 muestra la interfaz web respectiva.
Figura 7. Interfaz web aplicativo web SPRYN
El aplicativo web eByE proporciona el servicio de gestin de bienes y existencias para

las entidades pblicas. Su interfaz web se muestra en la figura 8.
Figura 8. Interfaz web aplicativo web eByE
12
3 Estndar Internacional ISO/IEC 27000
ISO/IEC 27000 es la raz para un amplio nmero de series numeradas de estndares
internacionales para la gestin de seguridad de la informacin [1]. Estos estndares
proveen una plataforma ampliamente reconocida de mejores prcticas para gestin de
seguridad de la informacin.
EL estndar ISO/IEC 27001:2013 es la versin actual de la especificacin del estndar

internacional para un Sistema de Gestin de Seguridad de la Informacin. Es
independiente de tecnologas y proveedores. Est diseado para ser aplicable a todas las
organizaciones, sin importar el tipo, tamao o naturaleza. Es un sistema de gestin y no
una especificacin de tecnologa, con el ttulo formal Tecnologa de Informacin
Tcnicas de Seguridad Sistemas de gestin de seguridad de la informacin
Requerimientos.
El estndar ISO/IEC 27002:2013 es titulado Tecnologa de Informacin Tcnicas

de Seguridad Cdigo de prctica para gestin de seguridad de la informacin. La
primera edicin fue publicada en Julio de 2005, habiendo sido numerada inicialmente
como ISO/IEC 17799. La ltima edicin fue publicada en Octubre de 2013.
El estndar ISO/IEC 27003:2010 es titulado Tecnologa de Informacin Tcnicas

de seguridad Gua de implementacin de un sistema de gestin de seguridad de
informacin. Fue publicado en Enero de 2010.
El estndar ISO/IEC 27004 es titulado Tecnologa de Informacin Tcnicas de

seguridad Gestin de seguridad de la informacin Medicin. Diseado para ayudar
a las organizaciones a ser ms eficientes con los requerimientos para medir la efectividad
de los controles. Fue publicado en Diciembre de 2009.
El estndar ISO/IEC 27005:2011 tiene que ver con la administracin de riesgos de

seguridad de la informacin, fue publicada en Junio de 2008, con una versin nueva
publicada en el 2011.
El estndar ISO/IEC 27006:2011 establece los requerimientos para entidades que

proveen la auditora y certificacin de sistemas de gestin de seguridad de la
informacin.
3.1 Sistema de Gestin de Seguridad de la Informacin

La Informacin es considerada como la posesin ms valiosa de una organizacin,
incluso si esta informacin no ha sido sujeta a una valoracin formal y comprehensiva
[1]. La Gobernanza de TI es la disciplina que trata con las estructuras, estndares y
procesos para gestionar efectivamente, proteger y aprovechar los activos de informacin
de una organizacin.
13
La Gestin de Seguridad de la Informacin es un subconjunto de la Gobernanza de
TI que se enfoca en proteger y asegurar los activos de informacin de una organizacin.
Los activos de informacin estn sujetos a varios tipos de amenazas, internas o

externas, que van desde lo aleatorio a lo especfico. Los riesgos incluyen actos de la
naturaleza, fraude y otras actividades criminales, errores de usuarios y fallas de los
sistemas.
El Sistema de Gestin de Seguridad de la Informacin (ISMS) es definido en la

ISO/IEC 27000 como parte de un sistema de gestin global, basado en un enfoque de
riesgo del negocio, para establecer, implementar, operar, monitorear, revisar mantener
y mejorar la seguridad de la informacin [1]. El sistema de gestin incluye estructura
organizacional, polticas, actividades de planificacin, responsabilidades, prcticas,
procedimientos, procesos y recursos.
3.1.1 Definicin de Seguridad de la Informacin

La ISO 27000 define a la seguridad de la informacin como la preservacin de la
confidencialidad, integridad y disponibilidad de la informacin; adicionalmente, otras
propiedades tales como autenticidad, responsabilidad, no repudio y confiabilidad
pueden ser incluidas [1].
Los riesgos de la informacin pueden afectar uno o varios de los tres atributos
fundamentales de un activo de informacin, que son: disponibilidad, confidencialidad e
integridad.
Disponibilidad: La propiedad de ser accesible y utilizable bajo demanda, por

una entidad autorizada, lo cual posibilita que la informacin sea accedida por
programas de software y por usuarios humanos.
Confidencialidad: La propiedad que hace que la informacin no est
disponible o sea divulgada para personas no autorizadas, entidades o
procesos.
Integridad: La propiedad de proteger la exactitud e integridad de los activos.
Para garantizar que la seguridad de la informacin es gestionada correctamente, se

debe hacer uso de un proceso sistemtico, documentado y conocido por toda la
organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que constituye
un SGSI.
3.1.2 Sistema de Gestin de Seguridad de la Informacin

La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organizacin [1]. La confidencialidad, integridad y disponibilidad
de informacin sensible pueden llegar a ser esenciales para mantener los niveles de
14
conformidad legal e imagen institucional necesarios para lograr los objetivos de la
entidad pblica.
Las entidades pblicas y sus sistemas de informacin estn expuestas a un nmero

cada vez ms elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas
formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el cracking
o los ataques de denegacin de servicio son algunos ejemplos comunes y conocidos, pero
tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados
voluntaria o involuntariamente desde dentro de la propia entidad o aquellos provocados
accidentalmente por catstrofes naturales y fallos tcnicos.
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones

variables del entorno, la proteccin adecuada de los objetivos de la entidad para
asegurar el mximo beneficio, son algunos de los aspectos fundamentales en los que un
SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin de las
entidades.
EL nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por

s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la entidad,
con las autoridades al frente, tomando en consideracin tambin a usuarios y
proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar
unos procedimientos adecuados y la planificacin e implantacin de controles de
seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los
mismos.
El SGSI ayuda a establecer estas polticas y procedimientos en relacin a los objetivos

de negocio de la entidad, con objeto de mantener un nivel de exposicin siempre menor
al nivel de riesgo que la propia entidad ha decidido asumir.
Con un SGSI, la entidad conoce los riesgos a los que est sometida su informacin y
los asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Un SGSI, que dentro del estndar incluye la estructura organizacional, polticas,

actividades de planificacin, responsabilidades, prcticas, procedimientos, procesos y
recursos, es un enfoque de gestin estructurado, coherente para la seguridad de la
informacin, el cual es diseado para garantizar la interaccin efectiva de los tres
componentes claves para la implementacin de un poltica de seguridad de la
informacin:
Proceso (procedimiento)
15
Tecnologa
Comportamiento del usuario
El requerimiento del estndar es que el diseo e implementacin de un SGSI debera

ser directamente influenciado por las necesidades y objetivos de cada entidad,
requerimientos de seguridad, los procesos organizacionales usados, adems del tamao
y estructura de la entidad.
3.2 ISO/IEC 27001:2013, Aspectos fundamentales

Este estndar internacional ha sido preparado para proporcionar requerimientos
para el establecimiento, implementacin, mantenimiento y mejora continua de un
sistema de gestin de seguridad de la informacin [12].
3.2.1 Alcance
Este estndar internacional especifica los requerimientos para el establecimiento,
implementacin, mantenimiento y mejoramiento continuo de un sistema de gestin de
seguridad de la informacin dentro del contexto de la entidad u organizacin. Este
estndar internacional tambin incluye requerimientos para la valoracin y tratamiento
de riesgos de seguridad de la informacin adaptados a las necesidades de la
organizacin. Los requerimientos expuestos en este estndar internacional son genricos
y pueden ser aplicados a todas las organizaciones, sin importar el tipo, tamao o
naturaleza.
3.2.2 Contexto de la organizacin

Se debe tener un entendimiento de la organizacin y su contexto; es decir, la
organizacin debe determinar los problemas internos y externos que son relevantes para
su propsito y que afecta la capacidad de su sistema de gestin de seguridad de la
informacin para alcanzar los resultados esperados.
Se debe tener un entendimiento de las necesidades y expectativas de las partes

interesadas; es decir, la organizacin debe determinar las partes interesadas que son
relevantes para el sistema de gestin de seguridad de la informacin, y los
requerimientos de estas partes interesadas que son relevantes para la seguridad de la
informacin.
Se debe determinar el alcance del sistema de gestin de seguridad de la informacin;

es decir, la organizacin debe determinar los lmites y aplicabilidad del sistema de
gestin de seguridad de la informacin para establecer su alcance. Cuando se determina
el alcance, la organizacin debe considerar: los problemas internos y externos referidos
en el primer prrafo de este apartado, los requerimientos referidos en el segundo prrafo
de este apartado, y, las interfaces y dependencias entre las actividades realizadas por la
organizacin y las realizadas por otras organizaciones.
16
La organizacin debe establecer, implementar, mantener y mejorar de forma
continua un sistema de gestin de seguridad de la informacin, de acuerdo a los
requerimientos de este estndar internacional.
3.2.3 Liderazgo
La alta gerencia o direccin debe demostrar liderazgo y compromiso respecto al
sistema de gestin de seguridad de la informacin mediante el:
Asegurar que la poltica y objetivos de seguridad de la informacin estn

establecidos y sean compatibles con la direccin estratgica de la
organizacin.
Asegurar la integracin de los requerimientos del sistema de gestin de
seguridad de la informacin dentro de los procesos de la organizacin.
Asegurar que los recursos necesarios para el sistema de gestin de seguridad
de la informacin estn disponibles.
Comunicar la importancia de una gestin efectiva de seguridad de la
informacin y que est acorde a los requerimientos del sistema de gestin de
seguridad de la informacin.
Asegurar que el sistema de gestin de seguridad de la informacin logre los
resultados esperados.
Dirigir y apoyar a las personas para contribuir a la efectividad del sistema de
gestin de seguridad de la informacin.
Promover el mejoramiento continuo.
Apoyar otros roles relevantes de gestin para demostrar su liderazgo y su
aplicacin en sus reas de responsabilidad.
La alta gerencia o direccin debe establecer una poltica de seguridad de la

informacin que:
Sea apropiada para el propsito de la organizacin.

Incluya los objetivos de seguridad de la informacin o provea la plataforma
para establecer los objetivos de seguridad de la informacin.
Incluya un compromiso para satisfacer los requerimientos aplicables
relacionados a la seguridad de la informacin.
Incluya un compromiso para el mejoramiento continuo del sistema de gestin
de seguridad de la informacin.
La alta gerencia o direccin debe asegurar que las responsabilidades y autoridades

sean asignadas y comunicadas para los roles relevantes de la seguridad de la
informacin. La asignacin de responsabilidad y autoridad permitir:
17
Asegurar que el sistema de gestin de seguridad de la informacin est
acorde a los requerimientos de este estndar internacional.
Reportar a la alta gerencia o direccin acerca del desempeo del sistema de
gestin de seguridad de la informacin.
3.2.4 Planificacin
La planificacin tiene que ver con las acciones para manejar los riesgos y las
oportunidades. Cuando se est planificando el sistema de gestin de seguridad de la
informacin, la organizacin debe considerar los problemas y los requerimientos
referidos en el apartado 3.2.2 sobre contexto de la informacin, y determinar los riesgos
y oportunidades que necesitan ser manejados para:
Asegurar que el sistema de gestin de seguridad de la informacin pueda

lograr los resultados esperados.
Prevenir o reducir los efectos no deseados.
Lograr el mejoramiento continuo.
La organizacin debe planificar acciones para manejar los riesgos y oportunidades,

buscar la forma de integrar e implementar estas acciones en los procesos del sistema de
gestin de seguridad de la informacin, adems de evaluar la efectividad de estas
acciones.
En lo que respecta a la valoracin de riesgos de seguridad de la informacin, la

organizacin debe definir y aplicar un proceso de valoracin de riesgos de seguridad de
la informacin que:
Establezca y mantenga un criterio de riegos de seguridad de la informacin

que incluya un criterio de aceptacin del riesgo; y, un criterio para realizar la
valoracin de riesgos de seguridad de la informacin.
Asegure que las valoraciones de riesgos de seguridad de la informacin
produzcan resultados consistentes, vlidos y comparables.
Identifique riesgos asociados con la prdida de confidencialidad, integridad
y disponibilidad de la informacin, dentro del alcance del sistema de gestin
de seguridad de la informacin; adems de identificar a los poseedores de
los riesgos.
Analice los riesgos de seguridad de la informacin; es decir, que valore las
potenciales consecuencias que podran resultar si los riesgos identificados se
materialicen, que valore la probabilidad real de ocurrencia de los riesgos
identificados y que determine los niveles de riesgos.
18
Evale los riesgos de seguridad de la informacin; es decir, que compare los
resultados del anlisis de riesgos con el criterio de riesgo establecido, y que
priorice los riesgos analizados para su tratamiento.
Para el tratamiento de los riesgos de seguridad de la informacin, la organizacin

debe definir y aplicar un proceso de tratamiento de riesgos para:
Seleccionar las opciones apropiadas de tratamiento de riesgos de seguridad

de la informacin, tomando en cuenta los resultados de la valoracin de
riesgos.
Determinar todos los controles que son necesarios de implementar las
opciones seleccionadas de tratamiento de riesgos de seguridad de la
informacin.
Comparar los controles determinados con los descritos en el Anexo A del
estndar ISO/IEC 27001 y verificar que no hayan sido omitidos controles
necesarios.
Generar una Declaracin de Aplicabilidad que contenga los controles
necesarios y las justificaciones de su inclusin, si estos estn implementados
o no, y la justificacin de exclusiones de controles del referido Anexo A del
estndar.
Formular un plan de tratamiento de riesgos de seguridad de la informacin.
Obtener la aprobacin del plan de tratamiento de riesgos de seguridad de la
informacin, por parte de los poseedores o dueos de los riesgos, y la
aceptacin de los riesgos residuales de seguridad de la informacin.
En lo relacionado a objetivos de seguridad de la informacin y la planificacin para

su consecucin, la organizacin debe establecer estos objetivos en funciones y niveles
relevantes. Estos objetivos deben:
Ser consistentes con la poltica de seguridad de la informacin.

Ser medibles.
Considerar los requerimientos aplicables de seguridad de la informacin, y
resultados de la valoracin y tratamiento de riesgos.
Ser comunicados.
Ser actualizados cuando en caso lo amerite.
En la planificacin para lograr los objetivos de seguridad de la informacin, la

organizacin debe determinar:
Lo que ser realizado

Los recursos requeridos
19
Los responsables
Los plazos de ejecucin
La forma de evaluacin de los resultados.
La figura 9 muestra la estructura del estndar internacional ISO/IEC 27000, basado

en la clasificacin de los objetivos de control y controles, que estn detallados en el
Anexo A del estndar referido.
Figura 9. Estructura de la norma ISO/IEC 27000
20
4 Esquema Gubernamental de Seguridad de la Informacin EGSI
La Secretara Nacional de la Administracin Pblica del Ecuador, considerando que
las TIC son herramientas imprescindibles para el desempeo institucional e
interinstitucional, y como respuesta a la necesidad de gestionar de forma eficiente y
eficaz la seguridad de la informacin en las entidades pblicas, cre la Comisin para la
Seguridad Informtica y de las Tecnologas de la Informacin y Comunicacin [14].
La comisin realiz un anlisis de la situacin respecto de la gestin de la seguridad

de la informacin en las Instituciones de la Administracin Pblica Central, Dependiente
e Institucional, llegando a determinar la necesidad de aplicar normas y procedimientos
para seguridad de la informacin, e incorporar a la cultura y procesos institucionales la
gestin permanente de la misma.
Se genera entonces el documento denominado Esquema Gubernamental de

Seguridad de la Informacin (EGSI), que est basado en la norma tcnica ecuatoriana
INEN ISO/IEC27002 para Gestin de la Seguridad de la Informacin y est dirigido a
las Instituciones de la Administracin Pblica Central.
El EGSI establece un conjunto de directrices prioritarias para Gestin de la Seguridad

de la Informacin e inicia un proceso de mejora continua en las instituciones de la
Administracin Pblica. El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino
que marca como prioridad la implementacin de algunas directrices. La implementacin
del EGSI tiene como propsito incrementar la seguridad de la informacin en las
entidades pblicas as como la confianza de los ciudadanos en la Administracin
Pblica.
El contenido del EGSI, se basa en lo indicado en el Anexo A del estndar

internacional ISO/IEC 27001 y en el estndar ISO/IEC 27002, relacionado a mejores
prcticas, y lo ordena de la siguiente forma:
Poltica de Seguridad de la Informacin

Organizacin de la Seguridad de la Informacin
Gestin de activos
Seguridad de los Recursos Humanos
Seguridad fsica y del entorno
Gestin de Comunicaciones y Operaciones
Control de Acceso
Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin
Gestin de los Incidentes de la Seguridad de la Informacin
Gestin de la Continuidad del Negocio
Cumplimiento
21
Del estudio realizado al EGSI, su implementacin se la debe realizar a travs de la
planificacin, implementacin, control y mejora continua de un sistema de gestin de
seguridad de la informacin SGSI.
La propuesta de planificacin del SGSI se la detalla en el captulo 5 del presente

documento; sin embargo, es importante sealar aspectos generales que constan en el
EGSI, relacionados con la poltica y organizacin de la seguridad de la informacin.
EL ESGI, en lo referente a Poltica de Seguridad de la Informacin, establece que:
La mxima autoridad de la institucin dispondr la implementacin del

EGSI.
Se debe aplicar el EGSI para definir procesos, procedimientos y tecnologas a
fin de garantizar la confidencialidad, integridad y disponibilidad de la
Informacin, en los medios y el tiempo que su legitimidad lo requiera.
EL ESGI, en lo referente a Organizacin de la Seguridad de la Informacin, establece

que:
Se debe realizar el seguimiento de la puesta en marcha de las normas del EGSI.

Se debe disponer la difusin, capacitacin y sensibilizacin del contenido del
EGSI.
Se debe conformar de forma oficial el Comit de Gestin de la Seguridad de
la Informacin, al interno de la institucin, y designar a los integrantes.
La coordinacin de la Gestin de la Seguridad de la Informacin estar a cargo
del Comit, que tendr las siguientes funciones:
o Definir y mantener la poltica y normas institucionales particulares en
materia de seguridad de la informacin y gestionar la aprobacin por
parte de la mxima autoridad de la institucin.
o Monitorear cambios significativos de los riesgos que afectan a los
recursos de informacin frente a las amenazas.
o Tomar conocimiento y supervisar la investigacin y monitoreo de los
incidentes relativos a la seguridad.
o Aprobar las principales iniciativas para incrementar la seguridad de la
informacin.
o Acordar y aprobar metodologas y procesos especficos, en base al
EGSI.
o Evaluar y coordinar la implementacin de controles especficos de
seguridad de la informacin para nuevos sistemas o servicios, en base
al EGSI.
22
o Coordinar el proceso de gestin de la continuidad de la operacin de
los servicios y sistemas de informacin de la institucin frente a
incidentes de seguridad imprevistos.
o Designar a los custodios o responsables de la informacin.
o Gestionar la provisin permanente de recursos econmicos,
tecnolgicos y humanos para la gestin de la seguridad de la
informacin.
o Velar por la aplicacin de la familia de normas tcnicas ecuatorianas
INEN ISO/IEC 27000.
o Designar formalmente a un funcionario como Oficial de Seguridad de
la Informacin quien actuar como coordinador del Comit.
23
5 Planificacin del SGSI
Dado que el SGSI es bsicamente un conjunto de procesos y procedimientos
enfocados en gestionar la seguridad de la informacin, dentro de una organizacin, se
utiliza el ciclo continuo PDCA (Plan, Do, Check, Act) por sus siglas en ingls, que es
tradicional en los sistemas de gestin de calidad [5].
EL presente trabajo final de mster se enfoca en el Plan, es decir, en la planificacin

de un SGSI, para lo cual se consideran los requisitos ms sobresalientes del estndar
internacional ISO/IEC 27001 y se siguen los pasos indicados en el estndar internacional
ISO/IEC 27003 [3], [13].
5.1 Alcance del SGSI

El Ministro de Finanzas de Ecuador, por medio del Acuerdo Ministerial No. 209 del
23 de julio de 2014, dispone la implementacin del Esquema Gubernamental de la
Seguridad de la Informacin en el Ministerio de Finanzas, basado en el Acuerdo
Ministerial No. 166, denominado Esquema Gubernamental de Seguridad de la
Informacin EGSI, emitido por la Secretara Nacional de la Administracin Pblica, que
a su vez se basa en la norma ISO 27000.
El Acuerdo Ministerial No. 209 dispone la implementacin del EGSI en el mbito de

sus competencias, entre otras, a la Subsecretara de Innovacin de las Finanzas Pblicas,
de la que la Direccin Nacional de Operaciones de los Sistemas de las Finanzas Pblicas
forma parte.
El presente documento define como alcance el disear (Plan) un sistema de gestin

de seguridad de la informacin, para su implementacin al interno de la Direccin
citada.
El alcance del SGSI cubre a la infraestructura tecnolgica (servidores,

almacenamiento, comunicaciones) sobre la cual operan los sistemas de finanzas
pblicas, aplicaciones informticas e informacin almacenada.
Los activos involucrados se localizan en el Centro de Datos del Ministerio de

Finanzas del Ecuador, en la ciudad de Quito.
5.2 Definicin de la poltica de seguridad

El Acuerdo Ministerial No. 209 dispone la aprobacin y elevacin a rango de
normativa interna el documento denominado Poltica General de Seguridad de la
Informacin, que es de cumplimiento obligatorio para todo el personal del Ministerio de
Finanzas en el marco de la implantacin del EGSI y del Sistema de Gestin de Seguridad
de la Informacin [8]. El Ministerio de Finanzas del Ecuador, reconoce la importancia de
identificar y proteger los activos de informacin de la Institucin; para ello, evitar la
24
destruccin, divulgacin, modificacin, indisponibilidad y utilizacin no autorizada de
toda informacin, comprometindose a planificar, desarrollar, implantar, mantener,
mejorar y evaluar continuamente un Sistema de Gestin de Seguridad de la Informacin
(SGSI) y del uso del Esquema Gubernamental de Seguridad de la Informacin (EGSI).
Es Poltica de Seguridad de la Informacin del Ministerio de Finanzas del Ecuador

[9]:
Establecer objetivos anuales con relacin a la Seguridad de la Informacin.

Establecer la gestin de riesgos de seguridad de la informacin, evaluacin y
tratamiento de riesgos, de acuerdo a su resultado implementar las acciones
correctivas y preventivas correspondientes al tratamiento y gestin de riesgos,
as como elaborar y actualizar los planes de accin y manuales de seguridad
de la informacin correspondientes.
Clasificar y proteger la informacin de acuerdo a los criterios de valoracin en
relacin a la importancia que posee para la Institucin y a la normativa
vigente.
Cumplir con los requerimientos legales o reglamentarios de seguridad de la
informacin en concordancia con la Constitucin y las Leyes aplicables
vigentes.
Realizar campaas de concientizacin y formacin al personal de la
Institucin en materia de seguridad de la informacin.
Contar con una poltica de gestin de incidentes de seguridad de la
informacin.
Contar con un Plan de Continuidad de Negocio con el fin de garantizar las
operaciones crticas y necesarias de la Institucin.
5.3 Metodologa de Evaluacin de Riesgos

Se har uso de un metodologa concreta de Anlisis de Riesgos que considere los
riesgos lgicos, de los cuales nos ocuparemos en este estudio. La metodologa a usar
cumple con los estndares ISO 27001.
La metodologa a usarse se basa en MAGERIT II, que es una metodologa

desarrollada con el Consejo Superior de Administracin Electrnica [4]. La figura 10
muestra un diagrama de los fundamentos de la metodologa.
25
Figura 10. Fundamentos de la metodologa de evaluacin de riesgos
La metodologa propuesta, basada en MAGERIR II, da cumplimiento a lo establecido

en:
ISO 27005, Identificar Riesgos

ISO 27005, Analizar y Evaluar Riesgos
ISO 27001, Sistemas de Gestin de Seguridad de la Informacin
ISO 27002, Manual de Buenas Prcticas de Gestin de Seguridad de la
Informacin
ISO 27005, Gestin de Riesgos de Seguridad de Informacin
Para simplificar la metodologa a usar, se definen etapas para una correcta gestin
de los riesgos y su relacin para un continuo proceso de mejora. La figura 11 muestra las
etapas definidas.
Figura 11. Etapas de la metodologa de evaluacin de riesgos
26
El resumen de las etapas es el siguiente:
Establecimiento del contexto

o Activos
o Amenazas
Identificacin de riesgos
o Situaciones de riesgo
Anlisis de riesgos
o Impacto
o Probabilidad
o Criticidad
o Nivel de necesidad de salvaguardas
Evaluacin de riesgos
5.4 Establecimiento del contexto

En esta etapa, para la determinacin de activos y amenazas, primero se expone las
definiciones de activos, tipos de activos, amenazas y tipos de amenazas.
Activo: son todos aquellos bienes, espacios, procesos y cualquier otro elemento de
consideracin que sea susceptible de sufrir las consecuencias de una amenaza.
Los tipos de activos fsicos y lgicos considerados en este estudio son:
Servicios
Aplicaciones (Software)
Redes de comunicaciones
Plataforma tecnolgica de almacenamiento
Plataforma tecnolgica de procesamiento
Plataforma tecnolgica de respaldo
Plataforma tecnolgica de seguridad
Plataforma tecnolgica de Bases de Datos
Datos/informacin
Amenazas: Contingencias o riesgos especficos de los activos analizados,

dependientes del entorno y circunstancias, cuya potencial materializacin debe ser
mermada.
Los tipos de amenazas consideradas en este estudio son:
Desastres Naturales
Ataques Intencionados
Errores y fallos no intencionados
27
La figura 12 muestra la arquitectura tecnolgica sobre la cual operan los diferentes
servicios y aplicativos web proporcionados por el Ministerio de Finanzas del Ecuador,
cuya gestin est a cargo de la Direccin Nacional de Operaciones de los Sistemas de
Finanzas Pblicas.
Figura 12. Arquitectura tecnolgica de los servicios y aplicativos web del Ministerio de Finanzas
5.4.1 Determinacin de activos y amenazas

Las tablas, desde la 1 hasta la 9, detallan los activos y amenazas incluidos en el
estudio, dentro del campo de accin de la Direccin Nacional de Operaciones de los
Sistemas de Finanzas Pblicas, y que guardan relacin con la arquitectura tecnolgica
mostrada en la figura 12. [2], [6], [7].
28
Tabla 1. Activos del grupo Almacenamiento vs amenazas
Grupo Almacenamiento
Activo Arreglo de Discos Controladora SAN
Tipo Amenaza Amenaza
Ataques Intencionados Malware
Ataques Intencionados Denegacin de Servicio
Ataques Intencionados Alteracin de Informacin
Ataques Intencionados Destruccin de Informacin
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad
Ataques Intencionados Abuso de privilegios de acceso
Ataques Intencionados Interceptacin de informacin
Ataques Intencionados Manipulacin de programas
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X
Desastres Naturales Terremotos X X X
Desastres Naturales Erupcin Volcnica X X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X X
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X X
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X X
Errores y Fallos No Intencionados Errores de configuracin X X X
Errores y Fallos No Intencionados Incendios X X X
29
Tabla 2. Activos del grupo Procesamiento vs amenazas
Grupo Procesamiento
Activo Servidores Blade Chasis Blade
Ataques Intencionados Denegacin de Servicio X
Ataques Intencionados Manipulacin de configuraciones X X
Ataques Intencionados Ocupacin no autorizada (huelgas) X X
Desastres Naturales Terremotos X X
Desastres Naturales Erupcin Volcnica X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X
Errores y Fallos No Intencionados Errores de administrador X X
Errores y Fallos No Intencionados Errores de configuracin X X
Errores y Fallos No Intencionados Incendios X X
30
Tabla 3. Activos del grupo Comunicaciones vs amenazas
Grupo Comunicaciones
Activo Switch Core Switch Distribucin Switch Acceso Balanceadores de carga Balanceadores ISP
Ataques Intencionados Denegacin de Servicio X X
Ataques Intencionados Manipulacin de configuraciones X X X X X
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X X X
Desastres Naturales Terremotos X X X X X
Desastres Naturales Erupcin Volcnica X X X X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X X X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X X X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X X X X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X X X X
Errores y Fallos No Intencionados Errores de administrador X X X X X
Errores y Fallos No Intencionados Errores de configuracin X X X X X
Errores y Fallos No Intencionados Incendios X X X X X
31
Tabla 4. Activos del grupo Seguridad vs amenazas
Grupo Seguridad
Activo Firewall IPS Antivirus
Ataques Intencionados Manipulacin de configuraciones X X X
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X
Desastres Naturales Terremotos X X X
Desastres Naturales Erupcin Volcnica X X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X X
Errores y Fallos No Intencionados Errores de administrador X X X
Errores y Fallos No Intencionados Errores de configuracin X X X
Errores y Fallos No Intencionados Incendios X X X
32
Tabla 5. Activos del grupo Respaldos vs amenazas
Grupo Respaldos
Activo Librera virtual Controlador
33
Tabla 6. Activos del grupo Bases de Datos vs amenazas
Grupo Bases de Datos

Activo Sistema de Bases de Datos
Ataques Intencionados Malware X
Ataques Intencionados Manipulacin de configuraciones X
Ataques Intencionados Ocupacin no autorizada (huelgas) X
Desastres Naturales Terremotos X
Desastres Naturales Erupcin Volcnica X
Errores y Fallos No Intencionados Corte de Suministro elctrico X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X
Errores y Fallos No Intencionados Errores de administrador X
Errores y Fallos No Intencionados Errores de configuracin X
Errores y Fallos No Intencionados Incendios X
34
Tabla 7. Activos del grupo Sistemas Operativos vs amenazas
Grupo Sistemas Operativos

Activo Microsof Windows Server 2012 Linux Red Hat
Ataques Intencionados Malware X X
Errores y Fallos No Intencionados Corte de Suministro elctrico
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad
35
Tabla 8. Activos del grupo Aplicativos vs amenazas
Grupo Aplicativos
Activo eSigef eSipren eSByE SPRYN Servicios WEB
Ataques Intencionados Malware X X X X
Ataques Intencionados Denegacin de Servicio X X X X X
Ataques Intencionados Alteracin de Informacin X X X X X
Ataques Intencionados Destruccin de Informacin X X X X X
Ataques Intencionados Fugas de Informacin X X X X X
Ataques Intencionados Suplantacin de Identidad X X X X X
Ataques Intencionados Abuso de privilegios de acceso X X X X X
Ataques Intencionados Interceptacin de informacin X X X X X
Ataques Intencionados Manipulacin de programas X X X X X
Ataques Intencionados Manipulacin de configuraciones X X X X X
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X X X
Desastres Naturales Terremotos X X X X X
Desastres Naturales Erupcin Volcnica X X X X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin
Errores y Fallos No Intencionados Agotamiento de recursos X X X X X
Errores y Fallos No Intencionados Indisponibilidad del personal X X X X X
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones X X X X X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte
Errores y Fallos No Intencionados Errores de administrador X X X X X
Errores y Fallos No Intencionados Errores de configuracin X X X X X
Errores y Fallos No Intencionados Incendios X X X X X
36
Tabla 9. Activos del grupo Informacin vs amenazas
Grupo Informacin
Activo Almacenada En trnsito
Ataques Intencionados Malware X
Ataques Intencionados Alteracin de Informacin X X
Ataques Intencionados Destruccin de Informacin X
Ataques Intencionados Acceso no autorizado a la Informacin X X
Ataques Intencionados Suplantacin de Identidad X X
Ataques Intencionados Abuso de privilegios de acceso X
Ataques Intencionados Interceptacin de informacin X
Ataques Intencionados Manipulacin de programas X
Ataques Intencionados Ingeniera Social X
Ataques Intencionados Manipulacin de configuraciones
Ataques Intencionados Repudio X
Ataques Intencionados Ocupacin no autorizada (huelgas) X
Desastres Naturales Terremotos X
Desastres Naturales Erupcin Volcnica X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte
Errores y Fallos No Intencionados Errores de usuarios X
Errores y Fallos No Intencionados Errores de administrador
Errores y Fallos No Intencionados Errores de configuracin
Errores y Fallos No Intencionados Incendios X
37
5.5 Identificacin de riesgos
En esta etapa las combinaciones aplicables de activos-amenazas son consideradas.
Cada posible combinacin de activo-amenaza se denomina Situacin de Riesgo [4]. El
conjunto de estos genera el Mapa de Riesgos [2], [6], [7].
Las tablas 1 hasta la 9 muestran el mapa de riesgos con las situaciones de riesgo
encontradas.
5.6 Anlisis de riesgos

Para el anlisis de riesgos se utilizarn escalas cualitativas para los parmetros
considerados [4]. Los parmetros a analizarse y estimarse son:
Parmetros a considerar para cada situacin de riesgo

o Impacto
o Probabilidad
o Nivel de necesidad de salvaguardas
Parmetros a considerar para cada activo
o Criticidad
El impacto es la medida de las consecuencias que puede sufrir un activo, en caso de

materializacin de una amenaza en un tiempo determinando. Se valora para cada
situacin de riesgo considerada, asumiendo uno de los valores indicados en la tabla 10.
Tabla 10. Valoracin del Impacto a la materializacin de una amenaza
IMPACTO
MA Impacto muy alto, muy grave o severo para la Organizacin
A Impacto alto, grave para la Organizacin
M Impacto medio, moderado, importante para la Organizacin
B Impacto bajo, menor para la Organizacin
MB Impacto muy bajo, irrelevante para la Organizacin
La probabilidad de ocurrencia de riesgos suele basarse en estudios estadsticos sobre

la materializacin de sucesos, averas o amenazas, sin embargo, se puede tener una
valoracin para indicar el grado de materializacin de una amenaza, considerando dos
indicadores como son el atractivo y la vulnerabilidad. EL atractivo se refiere al nivel de
inters del agente de la amenaza para llevarla a cabo. La vulnerabilidad es la medida de
cuan sencillo es llevar a cabo una amenaza sobre un activo, considerando que no existen
salvaguardas.
La probabilidad puede tomar uno de los valores indicados en la tabla 11:
38
Tabla 11. Valoracin de Probabilidad de Ocurrencia de Amenazas
PROBABILIDAD
Probabilidad muy alta de ocurrencia del evento, evento probablemente
MA ocurra
A Probabilidad alta de ocurrencia del evento, evento posible
M Probabilidad moderada de ocurrencia del evento, evento improbable
B Probabilidad baja de ocurrencia del evento, evento raro
MB Probabilidad muy baja de ocurrencia del evento, evento muy raro
Las salvaguardas reducen ciertos riesgos mediante dos vas: reduciendo el impacto
de las amenazas o reduciendo la probabilidad o frecuencia de ocurrencia. La necesidad
de salvaguardas es inversamente proporcional al nivel de salvaguardas que afectan a un
activo. Su valoracin se define basndose en el modelo CMMI, obteniendo valores
cuantitativos, conforme se indica en la tabla 12:
Tabla 12. Niveles CMMI y Necesidades de Salvaguardas
Grado de Madurez y Necesidad de Salvaguardas para Riesgos Lgicos

Grado de Necesidad de Nivel CMMI Prcticas de Gestin de
Madurez Salvaguardas Seguridad Lgica
Los procesos han sido revisados
hasta un nivel de best practice,
5 MB OPTIMIZADO
sobre la base de una mejora
continua
Los procesos estn en mejora
continua y proporcionan mejores
4 M GESTIONADO prcticas. Se usan herramientas
automatizadas de manera aislada
o fragmentada
La organizacin asegura que el
3 A DEFINIDO control se planifica, documenta,
ejecuta, monitoriza y controla
Los procesos han evolucionado
de forma de que se siguen
procedimientos similares para
realizar la misma tarea. No existe
2 MA REPETIBLE
formacin ni comunicacin de
procedimientos estndar y la
responsabilidad recae en el
individuo
No existen procesos estndar
aunque existen planteamientos
1 MA INICIAL
ad hoc que se utilizan en cada
situacin
NO Ausencia total de procesos
0 MA
EXISTENTE reconocibles
39
La criticidad mide las consecuencias que se estiman o asignan a cada dimensin de
seguridad en los activos considerados, independiente de amenazas.
Dado que la Direccin Nacional de Operaciones de los Sistemas de Finanzas Pblicas

gestiona toda la infraestructura tecnolgica que soporta los servicios relacionados con
los sistemas de finanzas pblicas, este estudio considera que los diferentes activos que
conforman dicha infraestructura son considerados crticos.
La tabla 13 muestra en el anlisis de riesgos realizado:

Tabla 13. Anlisis de Riesgos
Situacin de Riesgo Necesidad de

Impacto Probabilidad Nivel CMMI
salvaguardas
Grupo Activo Activo Amenaza
Arreglo de Manipulacin de
Almacenamiento discos configuraciones MA B A DEFINIDO
Ocupacin no
Arreglo de autorizada
Almacenamiento discos (huelgas) MA M MA REPETIBLE
Arreglo de
Almacenamiento discos Terremotos MA B MA REPETIBLE
Arreglo de
Almacenamiento discos Erupcin Volcnica A B MA REPETIBLE
Corte de
Arreglo de Suministro
Almacenamiento discos elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Arreglo de temperatura o
Almacenamiento discos humedad A B M GESTIONADO
Errores de
Arreglo de mantenimiento/act
Almacenamiento discos ualizacin M B M GESTIONADO
Interrupcin de
Arreglo de servicios de
Almacenamiento discos soporte A B A DEFINIDO
Arreglo de Errores de
Almacenamiento discos administrador A B A DEFINIDO
Arreglo de Errores de
Almacenamiento discos configuracin A B A DEFINIDO
Arreglo de
Almacenamiento discos Incendios MA B M GESTIONADO
Manipulacin de
Almacenamiento Controladora configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Almacenamiento Controladora (huelgas) MA M MA REPETIBLE
Almacenamiento Controladora Terremotos MA B MA REPETIBLE
Almacenamiento Controladora Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Almacenamiento Controladora elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Almacenamiento Controladora humedad A B M GESTIONADO
Errores de
mantenimiento/act
Almacenamiento Controladora ualizacin M B M GESTIONADO
40
Interrupcin de
servicios de
Almacenamiento Controladora soporte A B A DEFINIDO
Errores de
Almacenamiento Controladora administrador A B A DEFINIDO
Errores de
Almacenamiento Controladora configuracin A B A DEFINIDO
Almacenamiento Controladora Incendios MA B M GESTIONADO
Manipulacin de
Almacenamiento SAN configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Almacenamiento SAN (huelgas) MA M MA REPETIBLE
Almacenamiento SAN Terremotos MA B MA REPETIBLE
Almacenamiento SAN Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Almacenamiento SAN elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Almacenamiento SAN humedad A B M GESTIONADO
Errores de
mantenimiento/act
Almacenamiento SAN ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Almacenamiento SAN soporte A B A DEFINIDO
Errores de
Almacenamiento SAN administrador A B A DEFINIDO
Errores de
Almacenamiento SAN configuracin A B A DEFINIDO
Almacenamiento SAN Incendios MA B M GESTIONADO

Servidores Denegacin de
Procesamiento Blade Servicio A M A DEFINIDO
Servidores Manipulacin de
Procesamiento Blade configuraciones MA B A DEFINIDO
Ocupacin no
Servidores autorizada
Procesamiento Blade (huelgas) MA M MA REPETIBLE
Servidores
Procesamiento Blade Terremotos MA B MA REPETIBLE
Servidores
Procesamiento Blade Erupcin Volcnica A B MA REPETIBLE
Corte de
Servidores Suministro
Procesamiento Blade elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Servidores temperatura o
Procesamiento Blade humedad A B M GESTIONADO
Errores de
Servidores mantenimiento/act
Procesamiento Blade ualizacin M B M GESTIONADO
Interrupcin de
Servidores servicios de
Procesamiento Blade soporte A B A DEFINIDO
Servidores Errores de
Procesamiento Blade administrador A B A DEFINIDO
Servidores Errores de
Procesamiento Blade configuracin A B A DEFINIDO
Servidores
Procesamiento Blade Incendios MA B M GESTIONADO
Manipulacin de
Procesamiento Chasis Blade configuraciones MA B A DEFINIDO
41
Ocupacin no
autorizada
Procesamiento Chasis Blade (huelgas) MA M MA REPETIBLE
Procesamiento Chasis Blade Terremotos MA B MA REPETIBLE
Procesamiento Chasis Blade Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Procesamiento Chasis Blade elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Procesamiento Chasis Blade humedad A B M GESTIONADO
Errores de
mantenimiento/act
Procesamiento Chasis Blade ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Procesamiento Chasis Blade soporte A B A DEFINIDO
Errores de
Procesamiento Chasis Blade administrador A B A DEFINIDO
Errores de
Procesamiento Chasis Blade configuracin A B A DEFINIDO
Procesamiento Chasis Blade Incendios MA B M GESTIONADO

Manipulacin de
Comunicaciones Switch Core configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Comunicaciones Switch Core (huelgas) MA M MA REPETIBLE
Comunicaciones Switch Core Terremotos MA B MA REPETIBLE
Comunicaciones Switch Core Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Comunicaciones Switch Core elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Comunicaciones Switch Core humedad A B M GESTIONADO
Errores de
mantenimiento/act
Comunicaciones Switch Core ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Comunicaciones Switch Core soporte A B A DEFINIDO
Errores de
Comunicaciones Switch Core administrador A B A DEFINIDO
Errores de
Comunicaciones Switch Core configuracin A B A DEFINIDO
Comunicaciones Switch Core Incendios MA B M GESTIONADO
Switch Manipulacin de
Comunicaciones Distribucin configuraciones MA B A DEFINIDO
Ocupacin no
Switch autorizada
Comunicaciones Distribucin (huelgas) MA M MA REPETIBLE
Switch
Comunicaciones Distribucin Terremotos MA B MA REPETIBLE
Switch
Comunicaciones Distribucin Erupcin Volcnica A B MA REPETIBLE
Corte de
Switch Suministro
Comunicaciones Distribucin elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Switch temperatura o
Comunicaciones Distribucin humedad A B M GESTIONADO
42
Errores de
Switch mantenimiento/act
Comunicaciones Distribucin ualizacin M B M GESTIONADO
Interrupcin de
Switch servicios de
Comunicaciones Distribucin soporte A B A DEFINIDO
Switch Errores de
Comunicaciones Distribucin administrador A B A DEFINIDO
Switch Errores de
Comunicaciones Distribucin configuracin A B A DEFINIDO
Switch
Comunicaciones Distribucin Incendios MA B M GESTIONADO
Manipulacin de
Comunicaciones Switch Acceso configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Comunicaciones Switch Acceso (huelgas) MA M MA REPETIBLE
Comunicaciones Switch Acceso Terremotos MA B MA REPETIBLE
Comunicaciones Switch Acceso Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Comunicaciones Switch Acceso elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Comunicaciones Switch Acceso humedad A B M GESTIONADO
Errores de
mantenimiento/act
Comunicaciones Switch Acceso ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Comunicaciones Switch Acceso soporte A B A DEFINIDO
Errores de
Comunicaciones Switch Acceso administrador A B A DEFINIDO
Errores de
Comunicaciones Switch Acceso configuracin A B A DEFINIDO
Comunicaciones Switch Acceso Incendios MA B M GESTIONADO
Balanceadores Denegacin de
Comunicaciones de carga Servicio A M A DEFINIDO
Balanceadores Manipulacin de
Comunicaciones de carga configuraciones MA B A DEFINIDO
Ocupacin no
Balanceadores autorizada
Comunicaciones de carga (huelgas) MA M MA REPETIBLE
Balanceadores
Comunicaciones de carga Terremotos MA B MA REPETIBLE
Balanceadores
Comunicaciones de carga Erupcin Volcnica A B MA REPETIBLE
Corte de
Balanceadores Suministro
Comunicaciones de carga elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Balanceadores temperatura o
Comunicaciones de carga humedad A B M GESTIONADO
Errores de
Balanceadores mantenimiento/act
Comunicaciones de carga ualizacin M B M GESTIONADO
Interrupcin de
Balanceadores servicios de
Comunicaciones de carga soporte A B A DEFINIDO
Balanceadores Errores de
Comunicaciones de carga administrador A B A DEFINIDO
Comunicaciones de carga configuracin A B A DEFINIDO
Balanceadores
Comunicaciones de carga Incendios MA B M GESTIONADO
43
Balanceadores Denegacin de
Comunicaciones ISP Servicio A M A DEFINIDO
Balanceadores Manipulacin de
Comunicaciones ISP configuraciones MA B A DEFINIDO
Ocupacin no
Balanceadores autorizada
Comunicaciones ISP (huelgas) MA M MA REPETIBLE
Balanceadores
Comunicaciones ISP Terremotos MA B MA REPETIBLE
Balanceadores
Comunicaciones ISP Erupcin Volcnica A B MA REPETIBLE
Corte de
Balanceadores Suministro
Comunicaciones ISP elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Balanceadores temperatura o
Comunicaciones ISP humedad A B M GESTIONADO
Errores de
Balanceadores mantenimiento/act
Comunicaciones ISP ualizacin M B M GESTIONADO
Interrupcin de
Balanceadores servicios de
Comunicaciones ISP soporte A B A DEFINIDO
Comunicaciones ISP administrador A B A DEFINIDO
Comunicaciones ISP configuracin A B A DEFINIDO
Balanceadores
Comunicaciones ISP Incendios MA B M GESTIONADO
Manipulacin de
Seguridad Firewall configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Seguridad Firewall (huelgas) MA M MA REPETIBLE
Seguridad Firewall Terremotos MA B MA REPETIBLE
Seguridad Firewall Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Seguridad Firewall elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Seguridad Firewall humedad A B M GESTIONADO
Errores de
mantenimiento/act
Seguridad Firewall ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Seguridad Firewall soporte A B A DEFINIDO
Errores de
Seguridad Firewall administrador A B A DEFINIDO
Errores de
Seguridad Firewall configuracin A B A DEFINIDO
Seguridad Firewall Incendios MA B M GESTIONADO
Manipulacin de
Seguridad IPS configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Seguridad IPS (huelgas) MA M MA REPETIBLE
Seguridad IPS Terremotos MA B MA REPETIBLE
Seguridad IPS Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Seguridad IPS elctrico A B M GESTIONADO
44
Condiciones
inadecuadas de
temperatura o
Seguridad IPS humedad A B M GESTIONADO
Errores de
mantenimiento/act
Seguridad IPS ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Seguridad IPS soporte A B A DEFINIDO
Errores de
Seguridad IPS administrador A B A DEFINIDO
Errores de
Seguridad IPS configuracin A B A DEFINIDO
Seguridad IPS Incendios MA B M GESTIONADO
Manipulacin de
Seguridad Antivirus configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Seguridad Antivirus (huelgas) MA M MA REPETIBLE
Seguridad Antivirus Terremotos MA B MA REPETIBLE
Seguridad Antivirus Erupcin Volcnica A B MA REPETIBLE
Errores de
mantenimiento/act
Seguridad Antivirus ualizacin A M M GESTIONADO
Interrupcin de
servicios de
Seguridad Antivirus soporte A B A DEFINIDO
Errores de
Seguridad Antivirus administrador A B A DEFINIDO
Errores de
Seguridad Antivirus configuracin A B A DEFINIDO
Seguridad Antivirus Incendios MA B M GESTIONADO

Librera Manipulacin de
Respaldos Virtual configuraciones MA B A DEFINIDO
Ocupacin no
Librera autorizada
Respaldos Virtual (huelgas) MA M MA REPETIBLE
Librera
Respaldos Virtual Terremotos MA B MA REPETIBLE
Librera
Respaldos Virtual Erupcin Volcnica A B MA REPETIBLE
Corte de
Librera Suministro
Respaldos Virtual elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Librera temperatura o
Respaldos Virtual humedad A B M GESTIONADO
Errores de
Librera mantenimiento/act
Respaldos Virtual ualizacin A B M GESTIONADO
Interrupcin de
Librera servicios de
Respaldos Virtual soporte A B A DEFINIDO
Librera Errores de
Respaldos Virtual administrador A B A DEFINIDO
Librera Errores de
Respaldos Virtual configuracin A B A DEFINIDO
Librera
Respaldos Virtual Incendios MA B M GESTIONADO
Manipulacin de
Respaldos Controladora configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Respaldos Controladora (huelgas) MA M MA REPETIBLE
45
Respaldos Controladora Terremotos MA B MA REPETIBLE
Respaldos Controladora Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Respaldos Controladora elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Respaldos Controladora humedad A B M GESTIONADO
Errores de
mantenimiento/act
Respaldos Controladora ualizacin A B M GESTIONADO
Interrupcin de
servicios de
Respaldos Controladora soporte A B A DEFINIDO
Errores de
Respaldos Controladora administrador A B A DEFINIDO
Errores de
Respaldos Controladora configuracin A B A DEFINIDO
Respaldos Controladora Incendios MA B M GESTIONADO

Sistema de
Bases de
Bases de Datos Datos Malware A M M GESTIONADO
Sistema de
Bases de Manipulacin de
Bases de Datos Datos configuraciones A B M GESTIONADO
Sistema de Ocupacin no
Bases de autorizada
Bases de Datos Datos (huelgas) MA M MA REPETIBLE
Sistema de
Bases de
Bases de Datos Datos Terremotos MA B MA REPETIBLE
Sistema de
Bases de
Bases de Datos Datos Erupcin Volcnica A B MA REPETIBLE
Sistema de Errores de
Bases de mantenimiento/act
Bases de Datos Datos ualizacin A B M GESTIONADO
Sistema de Interrupcin de
Bases de servicios de
Bases de Datos Datos soporte A B A DEFINIDO
Sistema de
Bases de Errores de
Bases de Datos Datos administrador A B M GESTIONADO
Sistema de
Bases de Errores de
Bases de Datos Datos configuracin A B M GESTIONADO
Sistema de
Bases de
Bases de Datos Datos Incendios MA B M GESTIONADO
Microsoft
Sistemas Windows
Operativos Server 2012 Malware A M M GESTIONADO
Microsoft
Sistemas Windows Manipulacin de
Operativos Server 2012 configuraciones A B A DEFINIDO
Microsoft Ocupacin no
Sistemas Windows autorizada
Operativos Server 2012 (huelgas) MA M MA REPETIBLE
Microsoft
Sistemas Windows
Operativos Server 2012 Terremotos MA B MA REPETIBLE
Microsoft
Sistemas Windows
Operativos Server 2012 Erupcin Volcnica A B MA REPETIBLE
46
Microsoft Errores de
Sistemas Windows mantenimiento/act
Operativos Server 2012 ualizacin A B MA REPETIBLE
Microsoft Interrupcin de
Sistemas Windows servicios de
Operativos Server 2012 soporte A B A DEFINIDO
Microsoft
Sistemas Windows Errores de
Operativos Server 2012 administrador A B A DEFINIDO
Microsoft
Sistemas Windows Errores de
Operativos Server 2012 configuracin A B A DEFINIDO
Microsoft
Sistemas Windows
Operativos Server 2012 Incendios MA B M GESTIONADO
Sistemas Linux Red
Operativos Hat Malware A M M GESTIONADO
Sistemas Linux Red Manipulacin de
Operativos Hat configuraciones A B A DEFINIDO
Ocupacin no
Sistemas Linux Red autorizada
Operativos Hat (huelgas) MA M MA REPETIBLE
Sistemas Linux Red
Operativos Hat Terremotos MA B MA REPETIBLE
Sistemas Linux Red
Operativos Hat Erupcin Volcnica A B MA REPETIBLE
Errores de
Sistemas Linux Red mantenimiento/act
Operativos Hat ualizacin A B MA REPETIBLE
Interrupcin de
Sistemas Linux Red servicios de
Operativos Hat soporte A B A DEFINIDO
Sistemas Linux Red Errores de
Operativos Hat administrador A B A DEFINIDO
Sistemas Linux Red Errores de
Operativos Hat configuracin A B A DEFINIDO
Sistemas Linux Red
Operativos Hat Incendios MA B M GESTIONADO
Aplicativos eSigef Malware A M M GESTIONADO
Denegacin de
Aplicativos eSigef Servicio A M A DEFINIDO
Alteracin de
Aplicativos eSigef Informacin MA M A DEFINIDO
Destruccin de
Aplicativos eSigef Informacin MA B M GESTIONADO
Fugas de
Aplicativos eSigef Informacin M M A DEFINIDO
Suplantacin de
Aplicativos eSigef Identidad M M M GESTIONADO
Abuso de
privilegios de
Aplicativos eSigef acceso MA M A DEFINIDO
Interceptacin de
Aplicativos eSigef informacin A M M GESTIONADO
Manipulacin de
Aplicativos eSigef programas M B M GESTIONADO
Manipulacin de
Aplicativos eSigef configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos eSigef (huelgas) MA M MA REPETIBLE
Aplicativos eSigef Terremotos MA B MA REPETIBLE
Aplicativos eSigef Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos eSigef recursos A M M GESTIONADO
Indisponibilidad
Aplicativos eSigef del personal A M MA REPETIBLE
47
Fallo de servicios
Aplicativos eSigef de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos eSigef administrador A B M GESTIONADO
Errores de
Aplicativos eSigef configuracin A B M GESTIONADO
Aplicativos eSigef Incendios MA B M GESTIONADO
Aplicativos eSipren Malware A M M GESTIONADO
Denegacin de
Aplicativos eSipren Servicio A M A DEFINIDO
Alteracin de
Aplicativos eSipren Informacin MA M A DEFINIDO
Destruccin de
Aplicativos eSipren Informacin MA B M GESTIONADO
Fugas de
Aplicativos eSipren Informacin M M A DEFINIDO
Suplantacin de
Aplicativos eSipren Identidad M M M GESTIONADO
Abuso de
privilegios de
Aplicativos eSipren acceso MA M A DEFINIDO
Interceptacin de
Aplicativos eSipren informacin A M M GESTIONADO
Manipulacin de
Aplicativos eSipren programas M B M GESTIONADO
Manipulacin de
Aplicativos eSipren configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos eSipren (huelgas) MA M MA REPETIBLE
Aplicativos eSipren Terremotos MA B MA REPETIBLE
Aplicativos eSipren Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos eSipren recursos A M M GESTIONADO
Indisponibilidad
Aplicativos eSipren del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos eSipren de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos eSipren administrador A B M GESTIONADO
Errores de
Aplicativos eSipren configuracin A B M GESTIONADO
Aplicativos eSipren Incendios MA B M GESTIONADO
Aplicativos eSByE Malware A M M GESTIONADO
Denegacin de
Aplicativos eSByE Servicio A M A DEFINIDO
Alteracin de
Aplicativos eSByE Informacin MA M A DEFINIDO
Destruccin de
Aplicativos eSByE Informacin MA B M GESTIONADO
Fugas de
Aplicativos eSByE Informacin M M A DEFINIDO
Suplantacin de
Aplicativos eSByE Identidad M A A DEFINIDO
Abuso de
privilegios de
Aplicativos eSByE acceso MA M A DEFINIDO
Interceptacin de
Aplicativos eSByE informacin A A A DEFINIDO
Manipulacin de
Aplicativos eSByE programas M B M GESTIONADO
Manipulacin de
Aplicativos eSByE configuraciones A M M GESTIONADO
48
Ocupacin no
autorizada
Aplicativos eSByE (huelgas) MA M MA REPETIBLE
Aplicativos eSByE Terremotos MA B MA REPETIBLE
Aplicativos eSByE Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos eSByE recursos A M M GESTIONADO
Indisponibilidad
Aplicativos eSByE del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos eSByE de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos eSByE administrador A B M GESTIONADO
Errores de
Aplicativos eSByE configuracin A B M GESTIONADO
Aplicativos eSByE Incendios MA B M GESTIONADO
Aplicativos SPRYN Malware A M M GESTIONADO
Denegacin de
Aplicativos SPRYN Servicio A M A DEFINIDO
Alteracin de
Aplicativos SPRYN Informacin MA M A DEFINIDO
Destruccin de
Aplicativos SPRYN Informacin MA B M GESTIONADO
Fugas de
Aplicativos SPRYN Informacin M M A DEFINIDO
Suplantacin de
Aplicativos SPRYN Identidad M M M GESTIONADO
Abuso de
privilegios de
Aplicativos SPRYN acceso MA M A DEFINIDO
Interceptacin de
Aplicativos SPRYN informacin A M M GESTIONADO
Manipulacin de
Aplicativos SPRYN programas M B M GESTIONADO
Manipulacin de
Aplicativos SPRYN configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos SPRYN (huelgas) MA M MA REPETIBLE
Aplicativos SPRYN Terremotos MA B MA REPETIBLE
Aplicativos SPRYN Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos SPRYN recursos A M M GESTIONADO
Indisponibilidad
Aplicativos SPRYN del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos SPRYN de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos SPRYN administrador A B M GESTIONADO
Errores de
Aplicativos SPRYN configuracin A B M GESTIONADO
Aplicativos SPRYN Incendios MA B M GESTIONADO
Denegacin de
Aplicativos Servicios Web Servicio A M A DEFINIDO
Alteracin de
Aplicativos Servicios Web Informacin MA A A DEFINIDO
Destruccin de
Aplicativos Servicios Web Informacin MA B M GESTIONADO
Fugas de
Aplicativos Servicios Web Informacin M M A DEFINIDO
Suplantacin de
Aplicativos Servicios Web Identidad A M A DEFINIDO
Abuso de
privilegios de
Aplicativos Servicios Web acceso A M A DEFINIDO
49
Interceptacin de
Aplicativos Servicios Web informacin A M A DEFINIDO
Manipulacin de
Aplicativos Servicios Web programas M B M GESTIONADO
Manipulacin de
Aplicativos Servicios Web configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos Servicios Web (huelgas) MA M MA REPETIBLE
Aplicativos Servicios Web Terremotos MA B MA REPETIBLE
Aplicativos Servicios Web Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos Servicios Web recursos A M M GESTIONADO
Indisponibilidad
Aplicativos Servicios Web del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos Servicios Web de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos Servicios Web administrador A B M GESTIONADO
Errores de
Aplicativos Servicios Web configuracin A B M GESTIONADO
Aplicativos Servicios Web Incendios MA B M GESTIONADO
Informacin Almacenada Malware A M A DEFINIDO

Alteracin de
Informacin Almacenada Informacin MA M M GESTIONADO
Destruccin de
Informacin Almacenada Informacin MA B M GESTIONADO
Acceso no
autorizado a la
Informacin Almacenada Informacin A M M GESTIONADO
Suplantacin de
Informacin Almacenada Identidad A M M GESTIONADO
Abuso de
privilegios de
Informacin Almacenada acceso A M A DEFINIDO
Manipulacin de
Informacin Almacenada programas A M A DEFINIDO
Informacin Almacenada Ingeniera Social A M A DEFINIDO
Ocupacin no
autorizada
Informacin Almacenada (huelgas) MA M MA REPETIBLE
Informacin Almacenada Terremotos MA B MA REPETIBLE
Informacin Almacenada Erupcin Volcnica A B MA REPETIBLE
Informacin Almacenada Errores de usuarios A M M GESTIONADO
Informacin Almacenada Incendios MA B M GESTIONADO
Alteracin de
Informacin En trnsito Informacin MA M A DEFINIDO
Acceso no
autorizado a la
Informacin En trnsito Informacin MA M A DEFINIDO
Suplantacin de
Informacin En trnsito Identidad MA M A DEFINIDO
Interceptacin de
Informacin En trnsito informacin MA M A DEFINIDO
Informacin En trnsito Repudio A M A DEFINIDO
Fallo de servicios
Informacin En trnsito de comunicaciones MA B M GESTIONADO
50
5.7 Evaluacin de riesgos
Una vez establecidos los niveles de riesgo para los diferentes activos definidos, se
procede a definir las medidas de proteccin, controles, salvaguardas o contramedidas
que se deben implementar para cada uno de los activos en funcin del impacto que
pueda representar la materializacin de la amenaza [4].
La tabla 14 muestra el resultado de la evaluacin de riesgos, priorizando aquellos

que renen las siguientes caractersticas:
Impacto: alto, muy alto.

Probabilidad de ocurrencia: media, alta.
Necesidad de salvaguardas: alta, muy alta.
Nivel CMMI: definido, repetible.
Con la finalidad de relacionar las situaciones de riegos con los objetivos de control y
controles a ser definidos en el subcaptulo 5.8 para su mitigacin, se ha procedido a
asignar un identificador a cada situacin de riego, mismo que se puede observar en la
primera columna de la tabla 14.
Tabla 14. Evaluacin de Riesgos
Situacin de Riesgo Necesidad de

Impacto Probabilidad Nivel CMMI
salvaguardas
ID Grupo Activo Activo Amenaza
Arreglo de Ocupacin no
A1 Almacenamiento discos autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
A2 Almacenamiento Controladora autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
A3 Almacenamiento SAN autorizada (huelgas) MA M MA REPETIBLE
Servidores
P1 Procesamiento Blade Denegacin de Servicio A M A DEFINIDO
Servidores Ocupacin no
P2 Procesamiento Blade autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
P3 Procesamiento Chasis Blade autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
C1 Comunicaciones Switch Core autorizada (huelgas) MA M MA REPETIBLE
Switch Ocupacin no
C2 Comunicaciones Distribucin autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
C3 Comunicaciones Switch Acceso autorizada (huelgas) MA M MA REPETIBLE
Balanceadores
C4 Comunicaciones de carga Denegacin de Servicio A M A DEFINIDO
Balanceadores Ocupacin no
C5 Comunicaciones de carga autorizada (huelgas) MA M MA REPETIBLE
Balanceadores
C6 Comunicaciones ISP Denegacin de Servicio A M A DEFINIDO
Balanceadores Ocupacin no
C7 Comunicaciones ISP autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
S1 Seguridad Firewall autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
S2 Seguridad IPS autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
S3 Seguridad Antivirus autorizada (huelgas) MA M MA REPETIBLE
51
Librera Ocupacin no
R1 Respaldos Virtual autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
R2 Respaldos Controladora autorizada (huelgas) MA M MA REPETIBLE
Sistema de
Bases de Ocupacin no
B1 Bases de Datos Datos autorizada (huelgas) MA M MA REPETIBLE
Microsoft
Sistemas Windows Ocupacin no
SO1 Operativos Server 2012 autorizada (huelgas) MA M MA REPETIBLE
Sistemas Linux Red Ocupacin no
SO2 Operativos Hat autorizada (huelgas) MA M MA REPETIBLE
A1 Aplicativos eSigef Denegacin de Servicio A M A DEFINIDO
Alteracin de
A2 Aplicativos eSigef Informacin MA M A DEFINIDO
A3 Aplicativos eSigef Fugas de Informacin M M A DEFINIDO
Abuso de privilegios
A4 Aplicativos eSigef de acceso MA M A DEFINIDO
Ocupacin no
A5 Aplicativos eSigef autorizada (huelgas) MA M MA REPETIBLE
Indisponibilidad del
A6 Aplicativos eSigef personal A M MA REPETIBLE
A7 Aplicativos eSipren Denegacin de Servicio A M A DEFINIDO
Alteracin de
A8 Aplicativos eSipren Informacin MA M A DEFINIDO
A9 Aplicativos eSipren Fugas de Informacin M M A DEFINIDO
A10 Aplicativos eSipren de acceso MA M A DEFINIDO
Ocupacin no
A11 Aplicativos eSipren autorizada (huelgas) MA M MA REPETIBLE
A12 Aplicativos eSipren personal A M MA REPETIBLE
A13 Aplicativos eSByE Denegacin de Servicio A M A DEFINIDO
Alteracin de
A14 Aplicativos eSByE Informacin MA M A DEFINIDO
A15 Aplicativos eSByE Fugas de Informacin M M A DEFINIDO
Suplantacin de
A16 Aplicativos eSByE Identidad M A A DEFINIDO
A17 Aplicativos eSByE de acceso MA M A DEFINIDO
Interceptacin de
A18 Aplicativos eSByE informacin A A A DEFINIDO
Ocupacin no
A19 Aplicativos eSByE autorizada (huelgas) MA M MA REPETIBLE
A20 Aplicativos eSByE personal A M MA REPETIBLE
A21 Aplicativos SPRYN Denegacin de Servicio A M A DEFINIDO
Alteracin de
A22 Aplicativos SPRYN Informacin MA M A DEFINIDO
A23 Aplicativos SPRYN Fugas de Informacin M M A DEFINIDO
A24 Aplicativos SPRYN de acceso MA M A DEFINIDO
Ocupacin no
A25 Aplicativos SPRYN autorizada (huelgas) MA M MA REPETIBLE
A26 Aplicativos SPRYN personal A M MA REPETIBLE
A27 Aplicativos Servicios Web Denegacin de Servicio A M A DEFINIDO
Alteracin de
A28 Aplicativos Servicios Web Informacin MA A A DEFINIDO
A29 Aplicativos Servicios Web Fugas de Informacin M M A DEFINIDO
Suplantacin de
A30 Aplicativos Servicios Web Identidad A M A DEFINIDO
52
A31 Aplicativos Servicios Web de acceso A M A DEFINIDO
Interceptacin de
A32 Aplicativos Servicios Web informacin A M A DEFINIDO
Ocupacin no
A33 Aplicativos Servicios Web autorizada (huelgas) MA M MA REPETIBLE
A34 Aplicativos Servicios Web personal A M MA REPETIBLE
I1 Informacin Almacenada Malware A M A DEFINIDO
I2 Informacin Almacenada de acceso A M A DEFINIDO
Manipulacin de
I3 Informacin Almacenada programas A M A DEFINIDO
I4 Informacin Almacenada Ingeniera Social A M A DEFINIDO
Ocupacin no
I5 Informacin Almacenada autorizada (huelgas) MA M MA REPETIBLE
Alteracin de
I6 Informacin En trnsito Informacin MA M A DEFINIDO
Acceso no autorizado a
I7 Informacin En trnsito la Informacin MA M A DEFINIDO
Suplantacin de
I8 Informacin En trnsito Identidad MA M A DEFINIDO
Interceptacin de
I9 Informacin En trnsito informacin MA M A DEFINIDO
I10 Informacin En trnsito Repudio A M A DEFINIDO
5.8 Seleccin de los objetivos de control y controles

El EGSI establece un conjunto de directrices prioritarias para la Gestin de la
Seguridad de la Informacin, que son generales para su aplicacin en las entidades
pblicas ecuatorianas; sin embargo, en el presente estudio, se pretende limitar el alcance
a su aplicacin dentro del rea o departamento que tiene como responsabilidad principal
la operacin de los aplicativos web que forman parte del Sistema Nacional de Finanzas
Pblicas (SINFIP).
El acuerdo ministerial que dispone la implementacin del EGSI, cuenta con el anexo
1, que es una recopilacin del Anexo A de la norma ISO/IEC 27001:2013, relacionado
con los objetivos de control y controles a ser aplicados; por tanto, se tomar como
referencia el anexo 1 del EGSI para la seleccin de los objetivos de control y controles
[14].
Del anlisis y evaluacin de riesgos realizados, los objetivos de control y controles

seleccionados estn relacionados con:
Gestin de comunicaciones y operaciones

Control de Acceso
Gestin de la continuidad del negocio
5.8.1 Gestin de Comunicaciones y Operaciones

Los objetivos, procedimiento y actividades seleccionados, relacionados con la
gestin de comunicaciones y operaciones son:
53
Gestin del Cambio:
Objetivo: Controlar cambios sobre los servicios y sistemas de procesamiento de

informacin, procesos del negocio, que afecten la seguridad de la informacin. En
particular se pretende controlar y registrar cambios significativos sobre las
configuraciones de hardware y software base. El detalle de los controles, procedimientos
y actividades se muestran en la figura 13.
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2.
Responsable: rea de Infraestructura de TI
Figura 13. Gestin del Cambio
Distribucin de Funciones:
Objetivo: Establecer de forma clara las funciones y responsabilidades entre las

diferentes reas que conforman la Direccin de estudio, para evitar el cruce de funciones
y accesos no autorizados a las configuraciones de las diferentes plataformas. El detalle
de los controles, procedimientos y actividades se muestran en la figura 14.
54
Responsable: Director de Operaciones, en coordinacin con responsables de reas.
Figura 14. Distribucin de Funciones
Separacin de las instancias de Desarrollo, Pruebas, Capacitacin y Produccin:
Objetivo: Separar desde el nivel ms bajo posible los ambientes de Desarrollo,

Pruebas, Capacitacin y Produccin, para evitar accesos no autorizados a datos
sensibles. Disponer de ambientes similares en capacidad, en la medida de lo posible, a
los ambientes de produccin. El detalle de los controles, procedimientos y actividades
se muestran en la figura 15.
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A17, A22, A24, A28, A31, I2.
Responsable: Todas las reas de TI.
55
Figura 15. Separacin de las instancias de Desarrollo, Pruebas, Capacitacin y Produccin
Controles contra cdigo malicioso:
Objetivo: Garantizar que la informacin y los servicios de procesamiento de

informacin estn protegida contra malware o cdigo malicioso, mediante la
implantacin de controles de deteccin, prevencin y recuperacin, combinando con
una conciencia apropiada de los usuarios. El detalle de los controles, procedimientos y
actividades se muestran en la figura 16.
Situaciones de riesgos a mitigar: P1, C4, C6, A1, A7, A13, A21, A27, I1, I6.
Responsable: Infraestructura de TI y Redes, Comunicaciones y Seguridad.
56
Figura 16. Controles contra cdigo malicioso
Controles contra cdigos mviles:
Objetivo: Controlar de forma lgica el acceso de dispositivos mviles a la red LAN

institucional, mediante el uso de herramientas de bloqueo y criptografa. El detalle de
los controles, procedimientos y actividades se muestran en la figura 17.
Situaciones de riesgos a mitigar: I1, I6.
Responsable: rea de Redes, Comunicaciones y Seguridades
57
Figura 17. Controles contra cdigos mviles
Controles de las redes:
Objetivo: Establecer controles para proteger la confidencialidad e integridad de los

datos que viajan a travs de las redes pblicas, redes locales e inalmbricas a travs del
uso de VPNs, o esquemas de proteccin de datos para capas superiores, para todos los
servicios. El detalle de los controles y actividades se muestran en la figura 18.
Situaciones de riesgos a mitigar: A18, A32, I6, I7, I8, I9.
Responsable: rea de Redes, Comunicaciones y Seguridad
Figura 18. Controles de las redes
58
Seguridad de los servicios de la red:
Objetivo: Incorporar tecnologas de autenticacin y cifrado en los diferentes servicios

del SINFIP como son los servicios web ofrecidos a otras instituciones pblicas. El detalle
Situaciones de riesgos a mitigar: A18, A32, I6, I7, I8, I9.
Figura 19. Seguridad de los servicios de la red
Mensajera electrnica:
Objetivo: Mantener la seguridad de la informacin transferida dentro de la

organizacin y con una entidad externa. Proteger apropiadamente la informacin
incluida en mensajera electrnica. Ver el detalle en la figura 20.
Situaciones de riesgos a mitigar: I6, I7.
Responsable: rea de Redes, Comunicaciones y Seguridades.
59
Figura 20. Mensajera Electrnica
Polticas y Procedimientos para el intercambio de informacin:
Objetivo: Implementar controles, procedimientos y polticas de transferencia

formales para proteger la transferencia de informacin a travs de las diferentes
alternativas de comunicacin. El detalle de los controles, procedimientos y actividades
se muestran en la figura 21.
Situaciones de riesgos a mitigar: A3, A9, A15, A23, A29, I6, I7, I9.
60
Figura 21. Polticas y Procedimientos para el intercambio de informacin
Acuerdos para el intercambio de informacin:
Objetivo: Definir acuerdos de cooperacin para la transferencia segura de

informacin de negocio entre la entidad y terceras partes. El detalle de los controles,
procedimientos y actividades se muestran en la figura 22.
Situaciones de riesgos a mitigar: A3, A9, A15, A23, A29, I6, I7, I9, I10.
Responsable: Director de Operaciones, en coordinacin con el rea de Redes,

Comunicaciones y Seguridades.
61
Figura 22. Acuerdos para el intercambio
Transacciones en lnea:
Objetivo: Establecer procedimientos para garantizar la confidencialidad, integridad

y autenticidad en transacciones realizadas sobre los diferentes servicios, como el uso de
firma electrnica y cifrado de canales de comunicacin. Involucrar la participacin de
una entidad certificadora calificada. El detalle de los controles, procedimientos y
actividades se muestran en la figura 23.
Situaciones de riesgos a mitigar: A2, A8, A14, A22, A28, I6, I9, I10.
62
Figura 23. Transacciones en lnea
Registro de auditoras:
Objetivo: Registrar toda la informacin posible relacionada con accesos a servicios y

configuraciones, como por ejemplo fecha, hora, y detalle de eventos, para su futuro uso
en actividades de auditoras. El detalle de los controles, procedimientos y actividades se
muestran en la figura 24.
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2, I4.
Responsable: reas de Infraestructura de TI, y Redes, Comunicaciones y

Seguridades
63
Figura 24. Registro de auditoras
Monitoreo de uso del sistema:
Objetivo: Monitorear accesos autorizados, operaciones privilegiadas, intentos de

acceso no autorizados, alertas o fallos del sistema, cambios de configuracin, sobre los
diferentes sistemas y servicios. El monitoreo debe realizarse de forma continua. El
detalle de los controles, procedimientos y actividades se muestran en la figura 25.

Seguridades
64
Figura 25. Monitoreo de uso del sistema
Proteccin del registro de la informacin:
Objetivo: Proteger la informacin de registro de todos los eventos generados sobre

los diferentes servicios y sistemas, mediante mecanismos adecuados de respaldos. El
Responsable: rea de Infraestructura de TI
65
Figura 26. Proteccin del registro de la informacin
Registro del administrador y del operador:
Objetivo: Registrar toda la informacin posible de los eventos generados por el

acceso de administradores y operadores a los diferentes sistemas y plataformas. Evitar
el uso de nombres genricos para las identificaciones de cuentas de usuarios. El detalle

Seguridades
Figura 27. Registros del administrador y del operador
66
5.8.2 Control de Acceso
Los objetivos, procedimientos y actividades seleccionados, relacionados con la
gestin de control de acceso son:
Gestin de privilegios:
Objetivo: Controlar la asignacin de privilegios a usuarios de los diferentes servicios,

sistemas y sobre todo bases de datos, mediante el establecimiento de un procedimiento
formal que incluya la respectiva autorizacin. El detalle de los controles, procedimientos
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A17, A22, A24, A28, A31, I2,
I4.
Responsable: rea de Infraestructura de TI.
Figura 28. Gestin de privilegios
Gestin de contraseas para usuarios:
Objetivo: Establecer procedimientos formales de asignacin y reseteo de contraseas,

sobre todo para administradores y operadores de los sistemas y servicios. El detalle de
los controles, procedimientos y actividades se muestran en la figura 29.
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A16, A17, A22, A24, A28, A30,
A31, I2, I4.
Responsable: rea de Infraestructura de TI, y Redes, Comunicaciones y Seguridad
67
Figura 29. Gestin de contraseas para usuarios
Revisin de los derechos de acceso de los usuarios:
Objetivo: Mantener un control sobre los derechos de acceso de los usuarios a los
diferentes aplicativos y servicios, mediante depuraciones peridicas que se realicen en
coordinacin con reas de gestin de talento humano. El detalle de los controles,
A31, I2, I4.
Figura 30. Revisin de los derechos de acceso de los usuarios
Uso de contraseas:
Objetivo: Disponer de un procedimiento de uso de contraseas de usuarios, que

incluya mecanismos de generacin y cambio de contraseas con altos niveles de
seguridad, sobre todo para administradores y operadores de los diferentes servicios y
sistemas. El detalle de los controles, procedimientos y actividades se muestran en la
figura 31.
68
A31, I2, I4.
Responsable: rea de Infraestructura de TI en coordinacin con el Oficial de

Seguridad de la Informacin.
Figura 31. Uso de contraseas
Equipo de usuario desatendido:
Objetivo: Implementar medidas y mecanismos para evitar que el terminal de los

usuarios con privilegios de acceso a servicios de red crticos quede desprotegido ante
ausencia del usuario y con sesiones activas. EL detalle del control se muestra en la figura
32.
A31, I2, I3.
Responsable: Infraestructura de TI.
69
Figura 32. Equipo de usuario desatendido
Polticas de puesto de trabajo despejado y pantalla limpia:
Objetivo: Establecer polticas a ser cumplidas por los usuarios, incluidos

administradores y operadores, de los diferentes sistemas, aplicativos y servicios,
respecto al manejo de informacin sensible en formato digital o fsico. El control se
apoyar en implantacin de mecanismos de desconexin automtica de terminales
desatendidas. El detalle de los controles, procedimientos y actividades se muestran en
la figura 33.
A23, A24, A28, A29, A30, A31, I2, I4.
Responsable: Oficial de Seguridad de la Informacin en coordinacin con el rea de

Infraestructura de TI.
70
Figura 33. Poltica de puesto de trabajo despejado y pantalla limpia
Autenticacin de usuarios para conexiones externas:
Objetivo: Generar mecanismos para garantizar la seguridad de la informacin

transmitida por los canales de conexin remota, de usuarios administradores que de
forma remota necesiten acceder a las configuraciones de sistemas, aplicaciones y
servicios. El detalle de los controles, procedimientos y actividades se muestran en la
figura 34.
Situaciones de riesgos a mitigar: I6, I7, I8, I9, I10.
Responsable: rea de Redes, Comunicaciones y Seguridades.
71
Figura 34. Autenticacin de usuarios para conexiones externas
Proteccin de los puertos de configuracin y diagnstico remoto:
Objetivo: Establecer procedimientos de soporte especializado con el proveedor de

este tipo de servicios, que incluya la definicin de puertos especficos de comunicacin
a ser usados El detalle de los controles y actividades se muestran en la figura 35.
Situaciones de riesgos a mitigar: I6, I7, I8, I9, I10.
Responsable: rea de Infraestructura de TI, y, Redes, Comunicaciones y Seguridades.
Figura 35. Proteccin de los puertos de configuracin y diagnstico remoto
Procedimiento de registro de inicio seguro:
Objetivo: Establecer procedimientos para el registro de inicio seguro de usuarios,

incluyendo administradores y operadores, que est acorde a la poltica de control de
acceso de la entidad. Este procedimiento debe apalancarse de mecanismos de monitoreo
72
y registro de intentos exitosos y fallidos de autenticacin en los diferentes sistemas,
servicios y aplicativos. El detalle de los controles, procedimientos y actividades se
muestran en la figura 36.
Responsable: Infraestructura de TI.
Figura 36. Procedimientos de registro de inicio seguro
73
Identificacin y autenticacin de usuarios:
Objetivo: Establecer procedimientos y mecanismos para garantizar que los usuarios,

incluidos administradores y operadores de sistemas, aplicaciones y servicios, utilicen
identificadores propios y evitar el uso de identificadores de terceras personas, y evitar el
uso de identificadores genricos. Adicionalmente se pretende disponer de toda la
informacin necesaria para el rastreo de actividades de los usuarios. El detalle de los
controles, procedimientos y actividades se muestran en la figura 37.
Figura 37. Identificacin y autenticacin de usuarios
74
Sistema de gestin de contraseas:
Objetivo: Generar un procedimiento formal para la gestin y custodia de las

contraseas de usuarios con privilegios de acceso a informacin sensible, adems de
administradores de sistemas, servicios y aplicativos. Utilizar mecanismos de apoyo
como el cifrado para el almacenaje y distribucin de contraseas. El detalle de los
controles, procedimientos y actividades se muestran en la figura 38.
Figura 38. Sistema de gestin de contraseas
75
Computacin y comunicaciones mviles:
Objetivo: Implementar mecanismos para proteger la informacin almacenada en

computadores y equipos porttiles, como aplicacin de cifrado sobre particiones de
discos duros. Adicionalmente concientizar a los usuarios de este tipo de equipos sobre
los riesgos inherentes y las medidas a tomar. El detalle de los controles, procedimientos
Situaciones de riesgos a mitigar: I7.
Figura 39. Computacin y comunicaciones mviles
76
Trabajo remoto:
Objetivo: Establecer procedimientos y mecanismos que permitan a usuarios el poder

realizar trabajo remoto debido a razones de fuerza mayor. Se debe tener especial cuidado
sobre computadores que no son de propiedad de la institucin y que sern usados en el
trabajo remoto, para que incluyan polticas de seguridad como proteccin antivirus. El
Situaciones de riesgos a mitigar: A2, A8, A14, A22, A28, I4, I6, I7, I9.
Figura 40. Trabajo remoto
77
5.8.3 Gestin de la Continuidad del Negocio
Los objetivos, procedimiento y actividades seleccionados, relacionados con la
gestin de la continuidad del negocio son:
Inclusin de la seguridad de la informacin en el proceso de gestin de la

continuidad del negocio:
Objetivo: Designar el responsable de coordinar actividades relacionadas con la

continuidad de los diferentes servicios de TI. Definir una poltica de continuidad de los
servicios de TI que incluya objetivos, alcance, funciones y responsabilidades. Identificar
activos involucrados en los procesos crticos. El detalle de los controles, procedimientos
Situaciones de riesgos a mitigar: A1, A2, A3, P2, P3, C1, C2, C3, C5, C7, S1, S2, S3, R1,
R2, B1, SO1, SO2, A5, A6, A11, A12, A19, A20, A25, A26, A33, A34, I5.
Responsable: Director de Operaciones en coordinacin con el oficial de seguridad

del oficial de seguridad de la informacin y las diferentes reas de TI.
Figura 41. Inclusin de seguridad de la informacin en el proceso de gestin de continuidad del

negocio
78
Continuidad del negocio y evaluacin de riesgos:
Objetivo: Determinar los requerimientos de seguridad de la informacin y la

continuidad de la gestin de seguridad de la informacin en situaciones adversas. El
Responsable: Director de Operaciones en coordinacin con todas las reas de TI.
Figura 42. Continuidad del negocio y evaluacin de riesgos
79
Desarrollo e implantacin de planes de continuidad que incluya la seguridad de la
informacin:
Objetivo: Establecer, documentar, implementar y mantener procesos, procedimientos

y controles para garantizar los niveles requeridos de continuidad para la seguridad de
la informacin durante situaciones adversas. El detalle de los controles, procedimientos
Responsable: Director de Operaciones en coordinacin con el oficial de seguridad de

la informacin y las reas de TI.
Figura 43. Desarrollo e implementacin de planes de continuidad que incluya la seguridad de la

informacin
80
Estructura para la planificacin de la continuidad del negocio:
Objetivo: Definir procedimientos y actividades necesarios para la activacin de los

planes de continuidad del negocio, como son la definicin de acuerdos de nivel de
servicio internos y con proveedores externos de servicios, procedimientos de respaldos.
El detalle de los controles, procedimientos y actividades se muestran en la figura 44.
Responsable: Director de Operaciones en coordinacin con las reas de TI.
Figura 44. Estructura para la planificacin de la continuidad del negocio
81
Pruebas, mantenimiento y revisin de los planes de continuidad del negocio:
Objetivo: Verificar los controles de continuidad de seguridad de la informacin

establecidos e implementados, en intervalos regulares de tiempo, para garantizar que
estos sean vlidos y efectivos durante situaciones adversas. El detalle de los controles,
Responsable: Director de Operaciones en coordinacin con las reas de TI.
Figura 45. Pruebas, mantenimiento y revisin de los planes de continuidad del negocio
5.9 Declaracin de Aplicabilidad

La seleccin de los objetivos de control y controles, mostrados en las figuras de la
seccin anterior, guarda relacin con el anlisis y evaluacin de riegos realizado. Muchos
de estos objetivos de control y controles se traducen en el desarrollo e implantacin de
procesos y procedimientos, por lo que el proyecto de implementacin del EGSI y su
respectivo SGSI es completamente viable, cumpliendo de esta forma lo establecido en la
normativa vigente expuesta en el presente estudio.
82
6 Proceso para implementacin de un objetivo de control
Como puede observarse en el detalle de los objetivos de control propuestos en el
captulo anterior, su implementacin implica el levantamiento y puesta en operacin de
procesos especficos. La definicin de procesos entre otros detalles proporciona
informacin acerca de los recursos tecnolgicos y humanos necesarios para su ejecucin.
Algunos de los objetivos de control propuestos, en su detalle de controles y

actividades, evidencia la necesidad de contar con una herramienta o solucin tecnolgica
especfica, adems de talento humano calificado, tal es el caso por ejemplo de los
objetivos de control relacionados con gestin de continuidad del negocio. Para
implementar estos objetivos de control, que incluye procesos especficos, se debe contar
con la participacin de reas especiales de asesoramiento y apoyo administrativo,
definidas en el estatuto orgnico funcional del Ministerio de Finanzas del Ecuador [10].
El proceso planteado para la implementacin de objetivos de control involucra la

participacin de las siguientes Direcciones, adicionales a la Direccin que sirve de
escenario para la planificacin del SGSI:
Direccin de Administracin de Talento Humano, que tiene como

atribuciones y responsabilidades el gestionar los procesos de movimientos de
personal.
Direccin de Logstica Institucional, que tiene como atribuciones y
responsabilidades el dirigir la elaboracin y la ejecucin del sistema de
adquisiciones.
Direccin de Procesos y Mejora Continua, que tiene como atribuciones y
responsabilidades el gestionar los procesos institucionales mediante la
normativa y guas metodolgicas, asesorar a la institucin en temas
relacionados a la gestin de procesos y la gestin de calidad, y promover e
implementar proyectos de correccin, preventivas y de mejora de procesos.
La figura 46 muestra el proceso propuesto de implementacin de objetivos de control:
83
Figura 46. Proceso propuesto para implementacin de objetivos de control
84
La descripcin del proceso, mostrado en la figura 46, es la siguiente:
El proceso inicia con el anlisis del objetivo de control propuesto, por parte de
la Direccin Nacional de Operaciones de los Sistemas de Finanzas Pblicas, y
se solicita formalmente a la Direccin de Procesos y Mejora Continua el
asesoramiento para el levantamiento de procesos especficos, que incluya las
actividades y controles detallados en el objetivo de control analizado.
La Direccin de Procesos y Mejora Continua realiza el levantamiento de los
procesos especficos, contando con el apoyo del personal tcnico del rea
requirente, este caso la Direccin de Operaciones. Una vez levantada la
informacin, se elabora una propuesta de proceso y se la somete a revisin
por parte del rea requirente.
Si el proceso no es aceptado por parte del rea requirente, la Direccin de
Procesos y Mejora Continua realiza un rediseo, y lo vuelve a presentar hasta
obtener la aceptacin. Una vez aceptado el proceso, se procede a su entrega
formal.
La Direccin de Operaciones, tomando como referencia la informacin del
proceso recibido, realiza una evaluacin del nmero y capacidad de su
personal tcnico para implementar y operar el proceso. Si dispone del talento
humano requerido, procede con la elaboracin del plan de implementacin
del proceso.
Si no se cuenta con el talento humano requerido, la Direccin de Operaciones
realizar una solicitud de contratacin de personal tcnico calificado a la
Direccin de Administracin de Talento Humano.
La Direccin de Administracin de Talento Humano, una vez recibida la
solicitud, procede a la elaboracin de los perfiles de candidatos requeridos.
Posteriormente se procede a la peticin de disponibilidad presupuestaria. En
este punto, el proceso no avanza hasta que se disponga de recursos
financieros.
Con la certificacin de disponibilidad presupuestaria, la Direccin de
Administracin de Talento Humano procede a la publicacin de los perfiles
de candidatos requeridos a travs del portal web de socio empleo, que es un
servicio usado por las instituciones pblicas para contratacin de personal.
Se procede a la recepcin y calificacin de hojas de vida de aspirantes. En la
calificacin participa un representante del rea requirente, en este caso la
Direccin de Operaciones. Los aspirantes cuyas hojas de vida hayan obtenido
las mejores calificaciones sern contratados y vinculados a la institucin.
85
La Direccin de Operaciones, contando con el talento humano necesario,
procede a elaborar el plan de implementacin del proceso. En este punto, se
verifica si para la implementacin del proceso especfico es necesario contar
con alguna herramienta, servicio o solucin tecnolgica nueva. Si este es el
caso entonces se procede a la elaboracin de especificaciones tcnicas de la
solucin o servicio tecnolgico.
Las especificaciones tcnicas del servicio o solucin tecnolgica requerida es
entregado formalmente a la Direccin de Logstica Institucional para que
inicie el proceso de adquisicin.
La Direccin de Logstica Institucional, con las especificaciones recibidas,
procede a la elaboracin de los pliegos para contratacin pblica. Estos pliegos
son bsicamente formatos que deben ser llenados para su posterior
publicacin.
Se solicita la respectiva disponibilidad presupuestaria para la adquisicin. La
Direccin de Logstica Institucional, contando con la certificacin de
disponibilidad presupuestaria, procede a la publicacin de los pliegos de
adquisicin en el portal web de Compras Pblicas, que es un servicio por el
cual las instituciones pblicas publican sus procesos de adquisiciones para
que sean atendidos por proveedores.
Una vez publicado los pliegos de adquisicin, despus de un tiempo definido,
se reciben y califican las ofertas realizadas por proveedores. De las ofertas
calificadas, luego de un proceso de seleccin (ejemplo subasta inversa
electrnica) se selecciona a la mejor oferta y se procede con la adjudicacin al
proveedor ganador.
Cumplido el plazo de entrega establecido, se recibe la solucin o servicio
tecnolgico. En la recepcin participa un representante del rea requirente.
La Direccin de Operaciones procede con la implementacin del servicio o
solucin tecnolgica. Esta implementacin involucra la transferencia de
conocimiento al personal tcnico de la Direccin, quienes se encargarn de su
operacin.
Contando con las soluciones o servicios tecnolgicos, la Direccin de
Operaciones contando con el asesoramiento de la Direccin de Procesos y
Mejora Continua, finalmente procede con la implementacin de los procesos
especficos de control.
86
7 Conclusiones
En resumen, la planificacin del Sistema de Gestin de Seguridad de la Informacin
realizada en el presente trabajo, incluy los requisitos principales detallados en el
estndar internacional ISO/IEC 27001:2013 y sigui los pasos de la gua de
implementacin propuesta en el estndar internacional ISO/IEC 27003:2010. Como
conclusiones a esto se puede citar que:
La definicin del alcance del SGSI es muy importante para conocer sus lmites
de accin y de esta forma garantizar la consecucin de los resultados
esperados.
La definicin de polticas de seguridad es un requisito importante dado que
expone los requerimientos generales de toda la institucin respecto a
seguridad de la informacin y constituye la base legal para la planificacin
de un SGSI.
Un requisito fundamental para la planificacin de un SGSI es sin duda la
realizacin de un anlisis y evaluacin de riesgos, que se apoya en una
metodologa definida para su realizacin.
Del anlisis y evaluacin de riesgos, se obtienen las situaciones de riesgos con
mayor impacto, probabilidad de ocurrencia y necesidad de salvaguardas, que
son la referencia para la seleccin de los objetivos de control y controles que
el SGSI debe implementar.
Para implementar un SGSI, es decir, para implementar los objetivos de
control y controles seleccionados, dentro de una institucin pblica como es
el Ministerio de Finanzas del Ecuador, se realiz una propuesta de proceso
de implementacin que incluye la participacin de reas en encargadas de
gestionar la provisin de recursos tecnolgicos y humanos, as como la
asesora en metodologas de gestin por procesos.
El aporte o valor que proporciona este trabajo final de mster se describen en las
siguientes conclusiones:
Para llevar a cabo la planificacin de un sistema de gestin de seguridad de la

informacin, es indispensable contar con el apoyo de las autoridades de la
institucin pblica, como es el caso de este presente estudio. El inicio de la
planificacin de un SGSI debe contar con la autorizacin formal de las
autoridades.
Previo a iniciar la planificacin de un SGSI, al interno de la entidad u
organizacin pblica, debe designarse al colaborador o funcionario que
cumplir el rol de oficial de seguridad de la informacin, para que cumpla
tareas de elaboracin y difusin de polticas de seguridad de la informacin.
87
Como observacin al caso de estudio, dentro del Ministerio de Finanzas del
Ecuador, el rol de oficial de seguridad de la informacin recae sobre el
Viceministro de Finanzas; sin embargo, se recomienda que este rol, dentro de
una institucin pblica, lo cumpla un colaborador que nivel jerrquico medio
que no est sujeto a inestabilidades polticas que generen cambios de
autoridades.
Des estudio realizado, y siguiendo lo establecido en los estndares
internacionales ISO/IEC 27000, se concluye que la determinacin de activos
crticos y el anlisis y evaluacin de riesgos son pasos fundamentales para
definir el enfoque del SGSI, es decir, los objetivos de control y controles a ser
aplicados.
Para que un SGSI genere los resultados esperados, es importante que los
usuarios conozcan los aspectos fundamentales de seguridad de la informacin
y lo traduzcan en buenas prcticas en el momento de realizar sus actividades
de trabajo. La gestin de seguridad de la informacin se basa en el grado de
conciencia que se pueda obtener de los usuarios sobre seguridad de la
informacin.
De acuerdo al estudio realizado y en base a informacin obtenida de fuentes
bibliogrficas, se puede establecer que el basar la gestin de seguridad de la
informacin solamente en la aplicacin de herramientas tecnolgicas es un
error. Una correcta gestin se realiza estableciendo procesos y procedimientos
que sean claros y que ordenen los esfuerzos de trabajo. Muchos de los
controles de seguridad propuestos en este estudio involucran el
levantamiento de procesos y hacer el mejor uso de las herramientas
tecnolgicas ya existentes.
Como trabajos futuros que pueden realizarse a partir del presentado son:
Levantamiento e implementacin de procesos especficos de control de

seguridad de la informacin relacionados con gestin de comunicaciones y
operaciones.
seguridad de la informacin relacionados con gestin de control de accesos
seguridad de la informacin relacionados con gestin de continuidad del
negocio.
Diseo de un plan integral de continuidad del negocio, relacionado a
provisin de servicios de TI, que incluya controles de seguridad de la
informacin.
88
Diseo de indicadores de gestin para medir la efectividad de la operacin de
un sistema de gestin de seguridad de la informacin, basado en el estndar
internacional ISO/IEC 27004.
89
8 Bibliografa
[1] A. Calder, ISO27001 / ISO27002: A Pocket Guide. Ely, Cambridgeshire, United
Kingdom: IT Governance Publishing, 2013.
[2] J. Guerrn, "Elaboracin de un plan para la implementacin del sistema de gestin

de seguridad de la informacin," pp. 29, 2013.
[3] Instituto Ecuatoriano de Normalizacin, "NORMA TCNICA ECUATORIANA

NTE INEN-ISO/IEC 27003:2012,".
[4] Instituto Nacional de Tecnologas de la Comunicacin, "Modelo Unificado de

Anlisis de Riesgos de Seguridad Fsica y Lgica,".
[5] (). Sistema de Gestin de la Seguridad de la Informacin. Available:

www.iso27000.es.
[6] A. Larrahondo, "Plan Director de Seguridad de la Informacin," 2013.
[7] J. Lillo, "Elaboracin de un Plan de Implementacin y Desarrollo de un Sistema de

Gestin de la Seguridad de la Informacin basado en la norma ISO/IEC 27001:2005,"
2014.
[8] Ministerio de Finanzas del Ecuador, "Acuerdo Ministerial No. 209,

Implementacin del Esquema Gubernamental de la Seguridad de la Informacin." 2014.
[9] Ministerio de Finanzas del Ecuador, "Poltica General de Seguridad de la

Informacin (PGSI)," vol. 2.0, 2014.
[10] Ministerio de Finanzas del Ecuador, "Acuerdo Ministerial No. 254, Estatuto
Orgnico Funcional del Ministerio de Finanzas," 2011.
[11] Ministerio de Finanzas del Ecuador, "Cdigo Orgnico de Planificacin y

Finanzas Pblicas," 2010.
[12] Organizacin Internacional de Estandarizacin, ISO, "Information technology -

Security techniques - Information security management systems - Requirements,"
Iso/iec 27001, 2013.
[13] Organizacin Internacional de Estandarizacin, ISO, "Information techonoly -

Security techniques - Information security management system implementation
guidance," Iso/iec 27003, 2010.
[14] Secretara Nacional de la Administracin Pblica del Ecuador, "Esquema

Gubernamental de Seguridad de la Informacin EGSI," 2013.
90

Sgsi

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Sgsi

Încărcat de

Drepturi de autor:

Formate disponibile

Universidad Politcnica de Madrid

Escuela Tcnica Superior de Ingenieros de Telecomunicacin

TRABAJO FIN DE MSTER

Rolando Coello Neacato

Escuela Tcnica Superior de Ingenieros de Telecomunicacin

TRABAJO FIN DE MSTER

Rolando Coello Neacato

Departamento de Ingeniera de Sistemas Telemticos

El presente Trabajo de Fin de Mster plantea el estudio del Esquema Gubernamental

El estudio se enfoca en la planificacin de un Sistema de Gestin de Seguridad de la

La planificacin incluye la definicin del alcance del SGSI, polticas generales de

Finalmente se propone un proceso a seguir para la implementacin de objetivos de

The study focuses on planning an Information Security Management System ISMS,

1.1 Objetivos propuestos ............................................................................................. 2

1.2 mbito de estudio .................................................................................................. 2

1.3 Estructura del documento ..................................................................................... 2

2 Descripcin de la Entidad Pblica de estudio............................................................ 4

2.1 Gestin de innovacin de las finanzas pblicas ................................................ 4

2.2 Escenario del caso de estudio ............................................................................... 6

2.2.1 Infraestructura de TI ...................................................................................... 8

2.2.2 Redes, Comunicaciones y Seguridades ....................................................... 9

2.2.3 Bases de Datos .............................................................................................. 10

2.3 Sistema Nacional de Finanzas Pblicas del Ecuador (SINFIP) ...................... 11

3 Estndar Internacional ISO/IEC 27000 ..................................................................... 13

3.1 Sistema de Gestin de Seguridad de la Informacin....................................... 13

3.1.1 Definicin de Seguridad de la Informacin .............................................. 14

3.1.2 Sistema de Gestin de Seguridad de la Informacin............................... 14

3.2 ISO/IEC 27001:2013, Aspectos fundamentales ................................................ 16

3.2.1 Alcance ........................................................................................................... 16

3.2.2 Contexto de la organizacin ....................................................................... 16

3.2.3 Liderazgo ....................................................................................................... 17

3.2.4 Planificacin .................................................................................................. 18

4 Esquema Gubernamental de Seguridad de la Informacin EGSI ......................... 21

5 Planificacin del SGSI .................................................................................................. 24

5.1 Alcance del SGSI ................................................................................................... 24

5.2 Definicin de la poltica de seguridad ............................................................... 24

5.3 Metodologa de Evaluacin de Riesgos ............................................................ 25

5.4 Establecimiento del contexto .............................................................................. 27

5.4.1 Determinacin de activos y amenazas ...................................................... 28

5.5 Identificacin de riesgos ...................................................................................... 38

5.6 Anlisis de riesgos ................................................................................................ 38

5.8 Seleccin de los objetivos de control y controles ............................................. 53

5.8.1 Gestin de Comunicaciones y Operaciones ............................................. 53

5.8.2 Control de Acceso......................................................................................... 67

5.8.3 Gestin de la Continuidad del Negocio .................................................... 78

5.9 Declaracin de Aplicabilidad ............................................................................. 82

6 Proceso para implementacin de un objetivo de control........................................ 83

Figura 1. Estructura orgnica funcional del Ministerio de Finanzas ............................. 6

Tabla 1. Activos del grupo Almacenamiento vs amenazas........................................... 29

EGSI Esquema Gubernamental de Seguridad de la Informacin

NTE Normas Tcnicas Ecuatorianas

INEN Servicio Ecuatoriano de Normalizacin

ISO Organizacin Internacional de Estandarizacin

IEC Comisin Electrotcnica Internacional

SINFIP Sistema Nacional de las Finanzas Pblicas del Ecuador

SGSI Sistema de Gestin de Seguridad de la Informacin

SLA Acuerdos de Nivel de Servicio

CMDB Base de Datos de Gestin de Cambios

UPS Sistema de alimentacin ininterrumpida

IPS Sistema de Proteccin de Intrusos

RAC Cluster de Aplicacin Real de Oracle

eSIGEF Sistema de Gestin Financiera

SPRYN Sistema Presupuestario de Remuneraciones y Nmina