MAESTRIA EN GERENCIA DE REDES Y

TELECOMUNICACIONES V PROMOCIN

AUTOR: Ing. Alejandro Mera

TUTOR: Ing. Mauricio J. Balden MGS

Justificacin e importancia
Planteamiento del problema
 Introduccin
Justificacin-Importancia
Costo Cybercrimen Cumplimiento No cumplimiento

$1 Trilln
24B 120B EEUU
Costo promedio
Por ao
$5000
Por un minuto de cada

32000
nuevas muestras
97% 2 de cada 3
Empresas en riesgo
malware Violaciones seguridad son evitables Medios
mediante controles simples o
2013 intermedios Ingeniera
Social

1 Billn = 1x109 dlares Fuente: Ponemon Institute, McAfee Labs, ISACA, Banco Central y otros
 Introduccin
Justificacin-Importancia
Vulnerabilidades Externas

39%
4872 Afectados
61%
patrimonio
No Afectados

4832 Vulnerabilidades Internas

presupuesto 593 vulnerabilidades en 2112 equipos

EP PEC RIESGO ALTO

15616 ventas Ventas comercializacin interna

29277 dlares por minuto, 11000 en utilidades

5864 utilidad Modernizacin empresarial

Cambio del modelo de gestin
Modernizacin Tecnolgica con el ERP de
alcance nacional
Acuerdo ministerial 166 sept. 2013

Datos en millones de dlares Fuente: EP PETROEUADOR 2012, Consultoras

 Propuesta
del MGSI

Evidencia
Martes, 7 de Febrero, 2012 - 19h00 Advertencia de despidos en
PETROECUADOR por 'fuga' de informacin

QUITO.- "Con la finalidad de evitar inconvenientes al personal de la

EP Petroecuador por la fuga y mal uso de la documentacin e
informacin generada y utilizada en las actividades de nuestra
empresa, se recuerda a todo el personal que tienen que dar
cumplimiento irrestricto de los artculos 175, 176 y 178 de la normativa
de Gestin aprobada (...)" el 7 de abril del 2010.

Diario el Universo
 Introduccin

Formulacin del Problema

Indisponibilidad del sistema
prdida de informacin, retraso
en procesos, perdida de imagen
empresarial, duplicidad de tareas

Procesos
ERP

Falta de un modelo de gestin de

S-I (Polticas, procesos,
estructura, cultura, informacin,
servicios, personas )
 Introduccin

Hiptesis
La Gerencia de Tecnologas de Informacin y Comunicacin requiere de
un modelo de gestin de seguridad de la informacin alineado a
mejores prcticas y estndares internacionales los cuales influirn
positivamente en la optimizacin de los procesos empresariales
implementados en el sistema ERP de EP PETROECUADOR.

Objetivo General
Disear un modelo de gestin de seguridad de la informacin,
utilizando el estndar ISO/IEC 27002 y el marco de trabajo COBIT 5,
para facilitar la optimizacin de los procesos empresariales
implementados en el sistema ERP de EP PETROECUADOR.
 Introduccin

Objetivos especficos
Describir el estado de la normativa de gestin y de procesos.
Analizar la relacin y aplicabilidad conjunta de ISO 27002 y COBIT 5.
Elaborar una propuesta para el modelo de gestin de seguridad de la
informacin.
Determinar la forma en que los procesos empresariales se beneficiarn
de un modelo de gestin de Seguridad de la Informacin.

Alcance
Complementa las definiciones del subproceso "GARANTIZAR LA
SEGURIDAD DE LOS SISTEMAS", perteneciente al macro proceso
"TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES" de la
Normativa Interna de EP PETROECUADOR.
Seguridad de la Informacin
Marcos de trabajo buenas prcticas
EP PETROECUADOR
Sistema ERP
 Estado del
Arte

Seguridad de la Informacin
SeguridaddedelalaInformacin
Seguridad Informacin(S-I)
(S-I)
Riesgos:
Organizacionales, Seguridad informtica
Operacionales, Fsicos
Vulnerabilidades y amenazas
Polticas, normas de las TIC

Virus, gusanos, spam,

Comportamientos, actos contraseas,
deliberados, cultura actualizaciones, parches,
organizacional, etc. ataques informticos.

Confidencialidad Integridad Disponibilidad

No repudio, trazabilidad
 Estado del
Arte
COBIT 5: Marco Empresarial Completofor

Gobierno Corporativo de TI
Evolucin del Alcance

Gobierno de TI

Val IT 2.0
Administracin (2008)

Control
Risk IT
(2009)
Auditora

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

(ISACA, 2012)

11
 Estado del
Arte

Marcos de Trabajo Buenas prcticas

EDM:
Seguridad y Dominios COBIT 5
riesgo
Evaluar, orientar,
EDM supervisar
APO: DSS: Alinear, planificar y
APO organizar
Seguridad y Seguridad
riesgo
ISO/IEC y riesgo Construir, adquirir,
BAI implementar

27002 Entregar, dar servicio y

DSS soporte
Supervisar, evaluar,
MEA valorar
MEA: BAI:
Supervisin
, evaluacin Seguridad
 Estado del
Arte

EP PETROECUADOR
La Empresa Pblica de Hidrocarburos del Ecuador fue creada mediante la
expedicin del Decreto Ejecutivo No. 315, el 6 de abril de 2010

Cadena de Valor
3 Refineras con capacidad
Gestin del Sector Hidrocarburfero procesamiento promedio de 175000
barriles
Comercializacin
245 gasolineras asociadas, 45 de
Refinacin Nacional propiedad del estado y 20 en frontera.
Transporte y Comercializacin SOTE con capacidad de 360000 barriles ,
Almacenamiento Internacional 1597 km de poliductos.
Capacidad de almacenamiento de
Seguridad, Salud y Ambiente 5.200.000 de crudo y 266.2617 de
derivados
Macroprocesos Habilitantes Venta de crudos y compra de derivados.

(EP PETROECUADOR, 2012)

 Estado del
Arte

El sistema ERP de EP PETROECUADOR

ANTECEDENTES
Proyecto de modernizacin del modelo de gestin
y estandarizacin de procesos. (DELOITTE.)
Aprobado mediante resolucin del 18 de julio de
2012.
Oracle E-BUSINESS SUITE versin 12.1.3

DETALLES TCNICOS
Arquitectura 3 capas (CLIENTE, APLICACIN,
BASE DE DATOS)
Interfaz de cliente HTML , Formularios y
plataforma mvil.
Soportado en MIDDLEWARE, Oracle 10G
Modular y flexible

(EP PETROECUADOR, 2012)

Estructura organizacional
Servicios
Normativa de procesos
 Estado del
Arte S-I PEC

Estructura Organizacional STIC - Servicios

GERENCIA DE DESARROLLO ORGANIZACIONAL

Equipos de computo / aplicaciones

SUBGERENCIA DE TECNOLOGAS DE LA INFORMACIN
Y COMUNICACIN
COORDINACIN SNIOR DE
APLICACIONES
COORDINACIN SNIOR DE
INFRAESTRUCTURA Y COMUNICACIONES
Alojamiento WEB
Correo electrnico
Internet
Telefona
Videoconferencia
Comunicaciones de radio fijo-mvil
Comunicaciones marinas
Data warehouse
Plataforma AS-400
Aplicaciones tcnicas y de negocio

COORDINACIN SNIOR DE DATOS

 Estado del
Arte S-I PEC

Estructura Organizacional STIC Aprobada

octubre 2013
GERENCIA DE
TIC

ARQUITECTURA

SEGURIDAD

SERVICIOS
APLICACIONES INFRAESTRUCTURA
TECNOLGICOS

APLICACIONES
CENTRO DE DATOS MESA DE SERVICIO
TCNICAS

APLICACIONES DE SERVICIO A
COMUNICACIONES
NEGOCIO USUARIOS FINALES
 Estado del
Arte S-I PEC

Normativa de procesos STIC

26 procesos de COBIT 4.1
Planear y Organizar TIC (PO)

Adquirir e Implantar TIC (AI)

H04.03.05 Garantizar
Entregar y Dar Soporte de TIC (DS) la Seguridad de los
Sistemas (DS5)
Monitorear y evaluar TIC (ME)
INCOMPLETO
 Estado del
Arte S-I PEC

Anlisis de informes hacking tico

Pruebas externas
Sobre 23 equipos analizados Nivel de riesgo global

23% Alto
39%
Afectados 54% Medio
61% No afectados 23%
Bajo

Inyeccin SQL Blind

Cross Site Scripting (XSS)
Servicio FTP con usuario anonymous habilitado
Usuarios y passwords dbiles
Servicio SMTP relay habilitado
 Estado del
Arte S-I PEC
Anlisis de informes hacking tico
Pruebas internas
Sobre 2112 equipos analizados 4%

28% 33%
Afectados Alto
72% 63%
Medio
No afectados Bajo

RIESGO ALTO
mbito Recomendacin
Elaborar polticas y procedimientos de seguridad de la
informacin
Gestin
Establecer pruebas peridicas de S-I
Establecer mtodos de control
 Estado del
Arte S-I PEC

Anlisis de riesgo
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin compatible con ISO 31000.

Informacin Crtica

Abastecimientos: Compras,
negociaciones, contratos y
liquidaciones.
Finanzas: Cuentas bancarias,
lotes de pagos, rangos de
presupuesto.
Manufactura: Frmulas, costos,
asignacin recursos.
 Estado del
Arte S-I PEC

Riesgos de S-I del ERP- Tendencia

Impacto mas alto:
Modificacin deliberada por
parte de usuarios desastres
naturales

43 amenazas
Moda: riesgo medio (impacto
alto poco probable)

Impacto mas bajo:

Indisponibilidad de usuarios o
administradores del sistema
Los 7 Catalizadores
Cascada de metas COBIT
 Propuesta
del MGSI
Catalizadores de COBIT 5 Cascada de metas
Necesidades
partes interesadas

Metas de la
empresa

Metas de TI

Objetivos de TI

Partes interesadas, metas, ciclo de vida, buenas practicas Objetivos

catalizadores
 Propuesta
del MGSI

Metas corporativas del proyecto ERP

(EP PETROECUADOR, 2012)

 Propuesta
del MGSI

1. Polticas
Trminos y definiciones
El marco de Referencia
Responsabilidades y obligaciones
Sanciones
Funcin de seguridad
Control de acceso
S-I del Personal
Respuesta a incidentes

Dependientes de S-I
Gestin de comunicaciones
Adquisicin y desarrollo

2. Procesos
Alineamiento de TI y estrategia de negocio
Metas de TI
Seguridad de la informacin, infraestructura de procesamiento y aplicaciones
EDM: Evaluar, Orientar y Supervisar
EDM01 Asegurar el establecimiento y
mantenimiento del marco de referencia de
gobierno
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la optimizacin de riesgos
BAI: Construccin, Adquisicin e implem.
BAI01 Gestionar programas y proyectos
BAI02 Gestionar definiciones de
requerimientos
BAI06 Gestionar los cambios
DSS: Entregar, dar servicio y soporte
DSS05 Gestionar servicios de seguridad
Propuesta
del MGSI
APO: Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestin de TI
APO02 Gestionar la estrategia
APO03 Gestionar la arquitectura
empresarial
APO07 Gestionar los recursos Humanos
APO08 Gestionar las Relaciones
APO12 Gestionar El riesgo
APO13 Gestionar la seguridad
MEA: Supervisar, evaluar, valorar
MEA01 Supervisar, Evaluar y Valorar la
Conformidad con los Requerimientos
Externos. (Relacin secundaria)
 Propuesta
del MGSI

3. Estructura organizacional
Actual Propuesta

GERENCIA DE TIC GERENCIA DE TIC

ARQUITECTURA
ARQUITECTURA SEGURIDAD

SEGURIDAD

Jefe de Seguridad de
la informacin

Nivel Estratgico
Nivel de Negocio Analista de Analista de
Seguridad de la Seguridad de la
Nivel Gerencial Informacin Informacin
Nivel Tcnico (Tcnico-Gestin) (Riesgos)
 Propuesta
del MGSI
4. Cultura-tica
Comunicacin de valores por parte de la empresa
Comportamiento ejemplar de autoridades y agentes de
cambio
Incentivos para promover actitudes positivas
Gestin del cambio

5. Informacin
Estrategia de S-I
Presupuesto
Polticas
Requerimientos de S-I
Material de prevencin
Reportes de revisin
Catlogo de servicios de S-I
Riesgo e incidentes
 Propuesta
del MGSI

6. Servicios, infraestructura, aplicaciones

Seguridad de Arquitectura Base de Datos de la Gestin
Recursos
Desarrollo seguro de Configuracin (CMDB)
Tecnologa
Concienciacin Analizadores binarios
Valoracin de S-I Scanner de vulnerabilidades
Configuraciones de equipos Agentes Endpoint
Honeypots, sniffers

7. Personas, habilidades, competencias

Conocimientos Habilidades Comportamientos

Normativa Gestin de riesgos y Liderazgo y

Cadena de valor vulnerabilidades comunicacin
Estndares, marcos, Arquitectura, Pensamiento
buenas prcticas proteccin de datos estratgico
y comunicaciones Percepcin de
sistemas y entornos
 Propuesta
del MGSI

Enfoque de ciclo de vida

ISACA 2012
 Propuesta
del MGSI

Conclusiones
La falta de un modelo de gestin de seguridad de la informacin en EP
PETROECUADOR, imposibilita gestionar los riesgos asociados con el uso de
las TI, debido al desconocimiento de amenazas o vulnerabilidades y los
mtodos adecuados para tratarlas.
La infraestructura tecnolgica de EP PETROECUADOR se encuentra en un
nivel de riesgo alto debido a que el 29% y el 28% de los equipos externos e
internos, respectivamente, estn afectados por vulnerabilidades; y ms del
50% de estas son consideradas graves o de alto riesgo de acuerdo al Sistema de
Calificacin de Vulnerabilidades Comunes (CVSS).
De acuerdo al anlisis de riesgo y la informacin crtica identificada para el
sistema ERP, las amenazas con mayor impacto estn relacionadas con los
desastres naturales y la modificacin deliberada de informacin, siendo esta
ltima identificada como una amenaza interna que involucra a los usuarios
del sistema.
 Propuesta
del MGSI

Conclusiones
Los Principios, Polticas y Marcos de Referencia son el catalizador o elemento
principal sobre el cual se debe disear los modelos de gestin, debido a que
establecen los lineamientos generales para los otros componentes, considerando
los requisitos legales o marco regulatorio de cumplimiento obligatorio.
El xito de toda iniciativa de S-I est relacionada con el apoyo de la alta gerencia,
quien debe reconocer y entender los beneficios de la S-I en la consecucin de las
metas corporativas.
Los beneficios del modelo de gestin de seguridad de la informacin relacionados
con los procesos implementados en el sistema ERP son:
Cumplimiento con requerimientos de normativa, regulacin, acuerdos.
Reconocimiento y proteccin de informacin crtica de los procesos.
Facilidad para tareas de auditora
Definicin de los roles y responsabilidades
Segregacin de tareas
Mantenimiento de la identidad corporativa
Alineamiento y cumplimiento de las metas de TI con las metas corporativas
del ERP.
 Propuesta
del MGSI

Recomendaciones
Elaborar planes completos de remediacin para las vulnerabilidades reportadas en
los informes de hacking tico, y establecer revisiones peridicas de la
infraestructura tecnolgica de EP PETROECUADOR.
Incluir aspectos relacionados con la S-I y el anlisis de riesgos de S-I en todos los
proyectos que se desarrollen en EP PETROECUADOR.
Evitar las iniciativas aisladas o puramente reactivas para la compra de soluciones
tecnolgicas de S-I, en favor de procesos de mejora ordenados, bien
documentados y basados en las mejores prcticas que permitan un anlisis causa
efecto de los problemas detectados.
Incluir en el plan anual de capacitacin cursos dirigidos a todo el personal de la
EP PETROECUADOR, con el objetivo de concienciar sobre la importancia de la S-
I en la empresa.
Realizar un anlisis de factibilidad para la contratacin de un proceso de
consultora relacionado con la implementacin de un sistema de gestin de
seguridad de la informacin (SGSI) en EP PETROECUADOR.