UNIVERSIDAD DE OTAVALO

CARRERA DE INGENIERÍA EN TECNOLOGÍAS DE LA

INFORMACIÓN

“ENSAYO – POLITICAS DE SEGURIDAD”

AUTOR:

KEVIN ALEXANDER ALMACHI ANTAMBA

DOCENTE:

MSc. AIDA VIVIANA ZURITA MORALES

Otavalo, enero, 2023

 ÍNDICE

ANTECEDENTES 1
INTRODUCCIÓN 2
OBJETIVO......................................................................................................................3
OBJETIVOS ESPECÍFICOS..........................................................................................3
1 MARCO TEORICO 4
1.1 Sistema de gestión de seguridad de la información............................................4
1.2 Uso del SGSI........................................................................................................4
1.3 ISO/IEC 27001......................................................................................................4
1.4 Identificación de riesgo.........................................................................................5
1.5 Evaluación del riesgo...........................................................................................5
1.6 Tratamiento del Riesgo........................................................................................5
1.7 Política de seguridad............................................................................................5
2 DESARROLLO 6
2.1 Análisis situacional del área de Tecnología de la Cooperativa de Ahorro y
Crédito Chibuleo Ltda.....................................................................................................6
2.2 Metodología para Valoración de Riesgos............................................................7
2.3 Análisis.................................................................................................................7
2.1 Alcance.................................................................................................................8
3 CONCLUSIONES Y RECOMENDACIONES 8
4 BIBLIOGRAFIA 9
 ANTECEDENTES

La información es uno de los activos más importantes en las organizaciones, la misma

puede ser vulnerada por grupos delictivos, generando pérdidas invaluables. Un
informe de la International Communication Union, sitúa al Ecuador en el puesto 14 de
los países de Latinoamérica y en el 98 a nivel mundial, en lo que respecta a políticas
de ciberseguridad (ITU, 2019). Este ranking, evidencia que en el país es necesario
continuar trabajando en el diseño e implementación de políticas de seguridad de la
información en aras de prevenir ataques, los cuales pueden perjudicar a toda la
estructura institucional: directivos, empleados, clientes y proveedores. Dada esta
problemática, el se implementó un proyecto que tuvo como objetivo el diseño de una
política de seguridad de la información para el área de Tecnología de la Información
(TI) de la Cooperativa de Ahorro y Crédito Chibuleo Ltda., basado en la norma
ISO/IEC 27002:2013. Esta propuesta tuvo como finalidad mitigar posibles
vulnerabilidades en los sistemas de información, estableciendo dominios, objetivos y
controles para la gestión de la seguridad de la información.
 INTRODUCCIÓN

En la actualidad, las empresas y organizaciones utilizan las Tecnologías de la

Información y Comunicación (TIC) en casi todos los procesos internos y externos, con
la finalidad de que éstos sean agiles y adaptados a las necesidades de sus públicos.
No obstante, la implementación de estas tecnologías trae mejoras, también puede
conllevar riesgos en lo referente a la seguridad de la información. Las instituciones
sean públicas y privadas, tienen información confidencial como bases de datos de
clientes, proveedores, contratos, etc.

En función de lo expuesto anteriormente, surge la necesidad de diseñar una política

de seguridad de la información para el área de TI de la Cooperativa de Ahorro y
Crédito Chibuleo Ltda., que ayude a proteger la información confidencial, este proceso
se realizará utilizando la la norma ISO/IEC 27002:2013. Córdova (2015) argumenta
que este marco de referencia permite implementar buenas prácticas y prevenir
ataques informáticos internos y externos.
OBJETIVO

 Diseñar una política de seguridad de la información para el área de Tecnología

de Información (TI) de la Cooperativa de Ahorro y Crédito Chibuleo Ltda., en
base a la norma ISO/IEC 27002:2013, que garantice la confidencialidad,
integridad y disponibilidad de los datos de la organización.

OBJETIVOS ESPECÍFICOS

 Realizar una matriz de riesgo, mediante la recolección de datos sobre el estado

actual del área de TI, para el diagnóstico de amenazas, vulnerabilidades y
riesgos relacionados a la manipulación de información en la Cooperativa.

 Identificar los principales eventos de la matriz de riesgos previamente elaborada,

gestionando dichos riesgos mediante los controles de la norma ISO/IEC
27002:2013.

 Definir los riesgos altos del área de TI para la revisión de los controles de la
norma internacional ISO/IEC 27002:2013, además de la mitigación de los
riesgos obtenidos de la matriz.
1 MARCO TEORICO

1.1 Sistema de gestión de seguridad de la información

El Sistema de Gestión de Seguridad de la Información (SGSI)1 , tiene los

lineamientos bases para la implementación, seguimiento y mejora continua del
sistema de gestión de la información, mediante los cuales garantiza la
preservación de la confidencialidad, la integridad y la disponibilidad de la
información, con una buena aplicación de los procesos en los sistemas de
información, a través del levantamiento, seguimiento y mejora continua de los
eventos de riesgos. Además, el SGSI ayuda a mejorar los niveles de
competitividad y rentabilidad de la organización para lograr los objetivos
institucionales.

1.2 Uso del SGSI

El uso del SGSI es un proceso que cumple distintos ciclos y etapas, las cuales
sirven para mantener los niveles de competitividad, rentabilidad y reputación
corporativa. El uso de estas estrategias genera beneficios a mediano y largo
plazo.

1.3 ISO/IEC 27001

Es la encargada de proporcionar los requisitos para establecer un sistema de

gestión de seguridad de la información (SGSI) dentro de una organización sin
importar su tamaño, es aplicable para pequeñas y grandes empresas.
Siguiendo a la ISO 27001, se establece que el SGSI es la forma de preservar la
confidencialidad, integridad y disponibilidad de la información, además de
garantizar que todos los sistemas implicados tengan un tratamiento seguro
dentro de la organización.
1.4 Identificación de riesgo

La identificación del riesgo se hace con base en causas identificadas para los
procesos, las mismas que pueden ser internas o externas, según lo que haya
identificado la entidad a través del contexto estratégico.

1.5 Evaluación del riesgo

Es el proceso en el que se evalúa el cumplimiento de la implementación del

Sistema de Gestión de Seguridad de Información y sus requerimientos. El
principal objetivo de evaluación de riesgos es identificar y valorar cada uno de
los riesgos encontrados, además ayuda a determinar el costo económico de
cada activo de información y la importancia que tiene cada uno de estos en la
institución

1.6 Tratamiento del Riesgo

Luego de la evaluación es necesario pasar a la acción mediante una gestión

ordenada y procedimental. De tal forma, que se aplican controles para reducir,
optimizar, transferir o contener dicho riesgo.

1.7 Política de seguridad

Las políticas de seguridad informática son una herramienta utilizada en las

empresas para generar conciencia en los usuarios sobre la importancia y
resguardo de datos confidenciales y sensibles, que están relacionados con los
procesos de la institución.
Para ecuador una política de seguridad de información debe establecer los
siguientes puntos:
  Cumplimiento de todos los criterios de seguridad de la institución.
 Tener objetivos claros de los dominios y aplicar los controles de manera
eficiente para proteger los niveles físicos, humanos y lógicos.
 Designación de responsabilidades al personal de tecnología de
información y servicios similares.
 Definición de los requerimientos mínimos en torno a la seguridad de la
información, en las cuales se incluyen estrategias para la mejora continua
y la continuidad del negocio.
 Establecimiento de las reglas de sanciones en caso de incumplimiento a
la política.
 Determinación de responsabilidades a los usuarios internos y externos,
con controles de accesos necesarios para precautelar la información.

2 DESARROLLO

2.1 Análisis situacional del área de Tecnología de la Cooperativa de Ahorro y

Crédito Chibuleo Ltda.

En este aparatado se desarrolla un análisis sobre los activos de información más

relevantes que posee el área de tecnología de la información, así como su
aporte en los procesos que realiza la institución junto a las áreas críticas que van
a intervenir en Plan de continuidad del Negocio y en la creación de las Políticas
de Seguridad de la Información de la Cooperativa.

 Administración de la Base de Datos: La administración de datos

consiste en la generación, administración y control de la información, para
la realización de reportes que solicitan las distintas áreas y jefaturas de la
institución. Cabe señalar que, la gestión de almacenamiento de base es
donde se realiza un control adecuado de los respaldos de información
diarios, que provee el área de TI y que a su vez son utilizados por los
sistemas informáticos.
  Gestión del área de Tecnología: Para la correcta gestión del área de TI,
debido a su importancia dentro de la empresa, es necesaria la
contratación de un gerente de tecnología, que realice la planificación
interna y externa del personal. Otro recurso humano valioso es el
responsable del desarrollo de nuevas funcionalidades en el Core
Financiero, ya que es el encargado de brindar soporte a los usuarios
finales dentro de la cooperativa.

 Administración de infraestructura: La infraestructura concentra toda la

parte física como servidores, ups, sistemas de aire acondicionado,
extintores, conexiones de la red interna y externa, para lo cual se han
definido las siguientes actividades dentro del data Center: gestión y
administración del sitio alterno, gestión del centro de datos principal,
proceso de hardening a servidores antes de salir a producción,
mantenimientos de las telecomunicaciones, gestión de los UPS

2.2 Metodología para Valoración de Riesgos

Un riesgo se mide por el impacto que pueda causar dentro y fuera de las
organizaciones, y por la probabilidad de que un evento no esperado ocurra. Para
realizar la valoración de riesgos de los activos críticos de tecnología de información
que fueron definidos para el plan de contingencia del área de tecnología, se aplicará la
metodología de matriz de riesgos de cinco columnas, tanto para la probabilidad, como
para el impacto.

2.3 Análisis

Luego de un análisis exhaustivo de los riesgos a los que se enfrenta el área de

tecnología de Información de la Cooperativa de Ahorro y Crédito Chibuleo Ltda, se
determinó que los controles detallados anteriormente son los más adecuados para
mitigarlos. Este diagnóstico fue el punto de partida para el desarrollo de una política
de seguridad de información, que logre fortalecer el área de Tecnología de
información con la finalidad de precautelar los datos de la institución.

2.1 Alcance

En el presente documento se establecen políticas de seguridad de información para el

área de tecnología de la Cooperativa de Ahorro y Crédito Chibuleo Ltda.. Además, se
definen los controles necesarios para el cumplimiento de medidas de seguridad
mínimas, en miras de resguardar los datos de la institución con un correcto
planeamiento, preparación, entrenamiento, ejecución y difusión de esta política.

3 CONCLUSIONES Y RECOMENDACIONES

 A través del diagnóstico y de una revisión profunda de la norma internacional

ISO/IEC 27002:2013 se diseñó una política de seguridad de la información para
el área de TI de la Cooperativa de Ahorro y Crédito Chibuleo Ltda. En la
propuesta se tomó en cuenta tres aspectos fundamentales: la confidencialidad,
integridad y disponibilidad de los datos que posee la institución. En base estos
elementos se realizó un análisis actual de las medidas de seguridad que el área
de tecnología ha implementado, además de plasmar en una matriz los
incidentes de seguridad.

 Se recomienda que la Política de Seguridad de Información que se realizó en la

presente investigación, sea puesta a trámite ante el Comité de Administración
Integral de Riesgos (CAIR) de la Cooperativa de Ahorro y Crédito Chibuleo
Ltda., para su posterior aprobación por parte del Consejo de Administración.
4 BIBLIOGRAFIA

Politica_uso_informacion_activos_informacion_institucional_y_seguridad_informatica-

signed.pdf. (s. f.). Recuperado 15 de enero de 2023, de https://servicios-

it.epn.edu.ec/images//DGIP/Descargas/politica_uso_informacion_activos_inform

acion_institucional_y_seguridad_informatica-signed.pdf

Yanzapanta—DECLARACIÓN JURAMENTADA.pdf. (s. f.). Recuperado 15 de enero de

2023,