UNIVERSIDAD CENTROCCIDENTAL

“LISANDRO ALVARADO”

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN

CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y
COMUNICACIÓN DEL DECANATO DE
CIENCIAS Y TECNOLOGÍA - UCLA

ROSENDO A. MENDOZA PRADO

BARQUISIMETO, 2010
 UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO”
DECANATO DE CIENCIAS Y TECNOLOGÍA
MAESTRÍA EN CIENCIAS DE LA COMPUTACIÓN

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN

CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y
COMUNICACIÓN DEL DECANATO DE
CIENCIAS Y TECNOLOGÍA - UCLA

Trabajo de grado presentado como requisito parcial para optar

al grado de Magíster Scientiarum en Ciencias de la Computación

Por: Rosendo A. Mendoza Prado

BARQUISIMETO, 2010

ii
 DEDICATORIA:
A mis padres Rosendo y Ana Dolit.
A mi gran amor, Luisa.

iii
 AGRADECIMIENTO

A Dios Todo Poderoso, por haberme amado en la figura de su Unigénito.

A la Universidad Centroccidental Lisandro Alvarado, porque en ella me formé

y en ella me sigo desarrollando.

A mi tutora, Euvis Piña, por el tiempo dedicado.

Al personal administrativo del Centro de Tecnología de Información y

Comunicación del DCyT, por el apoyo prestado.

A todos los que de una u otra forma colaboraron en la consecución de esta

meta.

El Autor.

iv
 ÍNDICE GENERAL

PÁG.

DEDICATORIA ..........................................................................................................iii
AGRADECIMIENTO ................................................................................................. iv
ÍNDICE DE CUADROS............................................................................................viii
ÍNDICE DE GRÁFICOS .............................................................................................ix
ÍNDICE DE FIGURAS................................................................................................. x
RESUMEN...................................................................................................................xi
INTRODUCCIÓN ........................................................................................................ 1

CAPÍTULO
I EL PROBLEMA ......................................................................................... 3
Planteamiento del problema ................................................................ 3
Objetivos de la investigación............................................................... 7
General............................................................................................. 7
Específicos....................................................................................... 8
Justificación e Importancia .................................................................. 8
Alcance y Limitaciones ....................................................................... 9
II MARCO TEÓRICO.................................................................................. 11
Antecedentes...................................................................................... 11
Bases Teóricas ................................................................................... 16
Sistemas de Información................................................................ 16
Seguridad de la Información.......................................................... 17
Análisis y Gestión del Riesgo........................................................ 19
Identificación de los activos ...................................................... 21
Clasificación de los activos ....................................................... 22
Identificación de las amenazas .................................................. 23
Determinación de los Riesgos ................................................... 24
Revisión de los riesgos .............................................................. 25
Análisis Costo/Beneficio ........................................................... 25
Selección de controles sobre el análisis Costo/Beneficio.......... 26
Informar a la Directiva............................................................... 26
Sistema de Gestión de la Seguridad de la Información (SGSI)..... 27
Beneficios de implantar un SGSI .............................................. 30
Serie de Normas ISO 27000 .......................................................... 30
ISO 27000:2009......................................................................... 31
ISO 27001:2005......................................................................... 31
ISO 27002:2005 - Seguridad de la Información........................ 31

v
 IS0 27003 - Guía de implementación de SGSI.......................... 32
ISO 27004 - Métrica y medición ............................................... 32
ISO 27005 - Gestión de riesgos de los SGSI............................. 32
ISO 27006 - Servicios de recuperación… ................................ 32
Metodologías para la Estimación y Control de Riesgos................ 33
CRAMM .................................................................................... 34
EBIOS........................................................................................ 35
MAGERIT ................................................................................. 35
MEHARI.................................................................................... 36
OCTAVE ................................................................................... 36
Otras Herramientas para el Análisis y Gestión de Riesgos. ...... 37
Centro de Tecnología de Información y Comunicación................ 37
Operacionalización de las Variables.................................................. 40
III MARCO METODOLÓGICO ................................................................. 45
Naturaleza de la Investigación........................................................... 45
Fases del Estudio ............................................................................... 46
Fase I. Diagnóstico ........................................................................ 46
Población y Muestra .................................................................. 47
Procedimiento Diagnóstico........................................................ 48
Elaboración de los Instrumentos de Recolección de Datos ... 48
Validación de los instrumentos................................................. 49
Determinación de la Confiabilidad de los Instrumentos............. 50
Descripción de la técnica para el Análisis de datos.................... 52
Resultados Parciales del Diagnóstico........................................ 57
Resultado Global del Diagnóstico ............................................ 66
Conclusiones del Diagnóstico .................................................. 69
Recomendaciones del Diagnóstico ........................................... 70
Fase II. Estudio de Factibilidad ..................................................... 71
Factibilidad Operativa ............................................................... 71
Factibilidad Técnica................................................................... 72
Factibilidad Económica ............................................................. 73
IV PROPUESTA DEL ESTUDIO ................................................................ 75
Descripción de la Propuesta............................................................... 75
Desarrollo de la Propuesta ............................................................. 76
Alcance del SGSI....................................................................... 77
Política SGSI ............................................................................. 78
Enfoque de Evaluación de Riesgos............................................ 80
Identificación del Riesgo ........................................................... 81
Actividad 1: Identificación de Activos .................................. 81
Actividad 2: Clasificación de Activos. .................................. 86
Actividad 3: Identificación de Amenazas.............................. 94
Actividad 4: Determinación del Riesgo................................. 94
Análisis y evaluación del riesgo .............................................. 103
Opciones para el tratamiento del riesgo................................... 104

vi
 Selección de Objetivos de Control y Controles....................... 104
Aprobación de la gerencia para los riesgos residuales ............ 111
Autorización de la gerencia para implementar el SGSI........... 112
Enunciado de Aplicabilidad..................................................... 114
V CONCLUSIONES Y RECOMENDACIONES ...................................... 126
Conclusiones.................................................................................... 126
Recomendaciones ............................................................................ 127
Respecto al objeto de estudio ...................................................... 127
Respecto al área de conocimiento................................................ 128
REFERENCIAS BIBLIOGRÁFICAS...................................................................... 129
ANEXOS .................................................................................................................. 133
Anexo “A”. Currículum Vitae del Autor .......................................................... 134

vii
 ÍNDICE DE CUADROS

PÁG.
Cuadro 1. Laboratorios del CTIC…………………………………………… 39
Cuadro 2. Sistema de Variables……………………………………………... 43
Cuadro 3. Población de Estudio……………………………………………... 47
Cuadro 4. Criterio de Confiabilidad del Alpha de Cronbach………………... 51
Cuadro 5. Cláusulas de Seguridad de la ISO 17799 y su Peso de
53
Contribución……………………………………………………….
Cuadro 6. Cláusulas de seguridad seleccionadas y su Peso de Contribución.. 54
Cuadro 7. Respuestas posibles y su Puntaje Neto…………………………… 55
Cuadro 8. Cumplimento de la Política de Seguridad………………………... 57
Cuadro 9. Cumplimento de los Aspectos Organizativos……………………. 58
Cuadro 10. Cumplimento de la Gestión de Activos…………………………. 60
Cuadro 11. Cumplimento de la Seguridad del RH………………………… 61
Cuadro 12. Cumplimento de la Seguridad Física y Ambiental……………… 62
Cuadro 13. Cumplimento del Control de Acceso…………………………… 64
Cuadro 14. Cumplimento de la Gestión de Incidentes………………………. 65
Cuadro 15. Nivel de Madurez de SGSI actual del CTIC……………………. 67
Cuadro 16. Modelo de Madurez para un SGSI……………………………… 67
Cuadro 17. Costo inicial asociados al Sistema propuesto…………………… 74
Cuadro 18. Controles para gestionar los riesgos, por Cláusula de seguridad.. 110

viii
 ÍNDICE DE GRÁFICOS

PÁG.
Gráfico 1. NC de la cláusula Política de Seguridad…………………………. 58
Gráfico 2. NC de la cláusula Aspectos Organizativos………………………. 59
Gráfico 3. NC de la cláusula Gestión de Activos…………………………… 60
Gráfico 4. NC de la cláusula Seguridad del RH.……………………………. 62
Gráfico 5. NC de la cláusula Seguridad Física y Ambiental………………... 63
Gráfico 6. NC de la cláusula Control de Acceso……………………………. 64
Gráfico 7. NC de la cláusula Gestión de Incidentes………………………… 66

ix
 ÍNDICE DE FIGURAS

PÁG.
Figura 1. Tabla de Análisis y Gestión de Riesgos…………………………. 26
Figura 2. Fases del modelo PDCA..………………………………………... 28
Figura 3. Organigrama del CTIC..…………………………………………. 38
Figura 4. Mapa de dependencia para el Servicio de Laboratorio Abierto…. 89
Figura 5. Mapa de dependencia de activos para el Servicio de Impresión... 89
Figura 6. Mapa de dependencia para el Servicio de Laboratorio Cerrado…. 90
Figura 7. Mapa de dependencia para el Servicio de Soporte Técnico……... 91
Figura 8. Mapa de dependencia para la Gestión de Servidores……………. 92
Figura 9. Catálogo de Activos de SGSI del CTIC…………………………. 93
Figura 10. Matriz de Amenazas y Riesgos………………………………… 96
Figura 11. Matriz de Gestión de Riesgo, Controles recomendados y NPR
105
Estimado………………………………………………………...
Figura 12. Enunciado de Aplicabilidad…………………………………….. 115

x
 UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO”
DECANATO DE CIENCIAS Y TECNOLOGÍA
MAESTRÍA EN CIENCIAS DE LA COMPUTACIÓN

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN

CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y
COMUNICACIÓN DEL DECANATO DE
CIENCIAS Y TECNOLOGÍA - UCLA

Autor (a): Rosendo A. Mendoza Prado

Tutor (a): Euvis Piña Duin

RESUMEN
El presente trabajo propone un Sistema de Gestión para la Seguridad de la
Información (SGSI) en el Centro de Tecnología de Información y Comunicación
(CTIC) del Decanato de Ciencias y Tecnología de acuerdo al estándar internacional
ISO/IEC 27001:2005, debido a que las medidas actuales de control para satisfacer los
requisitos mínimos en seguridad han sido efectivas sólo parcialmente. Previamente se
debió: (a) Diagnosticar la situación actual del CTIC en materia de seguridad de la
información; y (b) Determinar la factibilidad de la propuesta presentada.
Posteriormente se diseñó el SGSI, basado en la fase de planeación de la norma
ISO/IEC 27001:2005 y en los controles de la norma ISO/IEC 27002:2005. Como
metodología de Análisis de Gestión del Riesgo(AGR) se empleó MAGERIT versión
2.0, y la herramienta ISO27K de la ISO27001 Security Home. El estudio está
enmarcado en la modalidad de “Proyecto Factible” apoyado en la investigación
monográfica documental y de campo. En esta investigación científica se determinó
que el Nivel de Madurez del SGSI actual del CTIC es del 42.69%, con la existencia
de 22 amenazas importantes, de las cuales se estima reducir su riesgo hasta un nivel
aceptable al implantar los controles que se proponen como correctivo. Vale destacar
que la adopción de una metodología sólida para la gestión del riesgo permite
descubrir los puntos vulnerables de un sistema de información lo que permite tomar
los correctivos necesarios para su tratamiento.

Palabras clave: SGSI, ISO 27001, AGR, MAGERIT, ISO27K

xi
 INTRODUCCIÓN

Cada día los avances tecnológicos van penetrando los diversos ámbitos de la
sociedad, principalmente a las organizaciones, con tecnologías que van formando
parte de su Sistema de Información haciéndolas, por lo general, más dependientes de
ellas. A su vez, esta evolución tecnológica ha originado importantes retos en materia
de seguridad dentro de las empresas como lo son: integridad de la data, disponibilidad
de la información y la confidencialidad.
Partiendo de ello, se ha hecho necesario contar con Sistemas de Seguridad de la
Información, a fin de protegerla de eventos inesperados y amenazas que, muchas
veces, son difíciles de controlar y gestionar; lo que propició el desarrollo de Sistemas
de Gestión de la Seguridad de la Información (SGSI), los cuales aportan herramientas
para el análisis y el tratamiento de los riesgos a que se ve expuesta, garantizando su
seguridad y el logro de los objetivos empresariales.
A esta situación no escapan las organizaciones educativas, especialmente
aquellas de educación superior, por lo que la Universidad Centroccidental “Lisandro
Alvarado” (UCLA), consciente de los beneficios que conlleva el implementar
sistemas seguros, aprobó en su sesión ordinaria número 1647 Las Normas de
Seguridad Informática y de Telecomunicaciones, abarcando todo lo que atañe a los
dispositivos conectados a su red de voz y datos (Red-UCLA). En este sentido, todos
los decanatos están obligados a acatar cada una de las normas definidas en tal
reglamento y, especialmente, el Centro de Tecnología de Información y
Comunicación del Decanato de Ciencias y Tecnología (CTIC), el cual atiende un gran
número de usuarios de la red, por pertenecer a un decanato donde se imparten
carreras ligadas al campo de la computación.
Sin embargo, esto no es suficiente para garantizar la Seguridad de la
Información desde un punto de vista integral, ya que dichas normas regulan,
básicamente, la transmisión electrónica, pero no abordan los problemas de seguridad
que se puedan suscitar en otras áreas tales como: planta física, zonas de acceso
restringido, personal autorizado, manejo de la información no electrónica, situaciones

1
ambientales. Por esto, el objetivo principal de esta investigación fue el
Establecimiento de un Sistema de Gestión para la Seguridad de la Información para el
Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y
Tecnología, dentro del marco de la norma ISO/IEC 27001:2005, con el fin de diseñar
políticas, objetivos, procesos y procedimientos claros que permitiesen determinar y
establecer controles de seguridad, que ayudasen a gestionar los riesgos en la
Seguridad de la Información; abarcando espacios físicos, procesos manuales y
automatizados, gestión del personal, usuarios de los sistemas y equipos, procurando
optimizar la gestión de los incidentes que se detecten y generar resultados en
concordancia con las políticas y objetivos del centro.
La siguiente investigación se estructuró en cinco (5) capítulos, a saber: el
Capítulo Introductorio, en el que se presentó el planteamiento del problema, objetivos
general y específicos, justificación, importancia, alcance y limitaciones del estudio; el
Capítulo II - Marco Teórico -, en el cual se detalló toda la teoría sobre la que se
sustenta esta investigación, con una presentación de los estudios anteriores
(antecedentes) sobre la materia; El Capítulo III, donde se describió la metodología
aplicada dentro de este estudio, prosiguiendo con los aspectos administrativos; el
Capítulo IV - Propuesta de Estudio -, en la cual se diseñó el Sistema de Gestión para
la Seguridad de la Información para el CTIC, especificando sus etapas y actividades,
y mostrando los resultados de la aplicación de la metodología descrita para el CTIC;
y el Capítulo V, con las conclusiones y recomendaciones. Por último, se lista la
bibliografía consultada y los anexos respectivos.

2
 CAPÍTULO I

EL PROBLEMA

Planteamiento del problema

En Venezuela, desde los años 90, se han visto cambios sustanciales en

diferentes áreas, como la política, la economía, la educación y hasta en la sociedad;
motivados, en gran parte, a la incorporación de nuevas tecnologías de información y
comunicación en los procesos operativos y administrativos, incidiendo de manera
favorable en el cumplimiento de los objetivos organizacionales. Por ello, se ha ido
migrando de procesos y sistemas netamente manuales, a otros de tipo automatizado
que deben interoperar con aquellos de índole tradicional; todo esto, con el fin de
llevar una mejor gestión de la información que la organización maneja, la cual es
considerada con un activo muy valioso dentro de este mundo altamente competitivo,
en donde un buen sistema de información cobra mayor relevancia.
La incorporación de nuevas tecnologías, además de brindar soporte al
desarrollo organizacional, ha traído un nuevo reto, como lo es: “mantener la
información segura”. En este sentido, Espiñeira y otros (2005) afirman:

La Seguridad de la Información ha comenzado a tomar un lugar

determinante dentro de la gestión de la Tecnología de la Información (TI),
convirtiéndose en un elemento fundamental a ser considerado en toda
estrategia de negocio con miras a lograr metas importantes a corto,
mediano y largo plazo. Para alcanzar la excelencia que muchas de las
organizaciones están buscando en materia de Seguridad de la
Información, algunos ejecutivos de negocio y profesionales en TI están
haciendo esfuerzos para organizar, de forma adecuada, sus recursos con
base al entendimiento que se tiene hoy día respecto a Seguridad de la
Información.

3
 Se evidencia asimismo, que la Seguridad de la Información va mas allá de los
aspectos tecnológicos y es necesario tratarla como un sistema integral, ya que
involucra los recursos organizacionales, los procesos y la tecnología, para lo cual
debe contarse con reglas, lineamientos, responsabilidades y procedimientos claros, en
los que, un sistema de información seguro brinda resultados tangibles y cuantificables
para la empresa, siendo el primer paso en las relaciones de confianza intra- e
interorganizacionales, apoyando el intercambio comercial y la competencia.
En este orden de ideas, López, A. (2008) hace aportes en relación a como debe
manejarse la seguridad dentro de las organizaciones, indicando que:

La gestión de la Seguridad de la Información debe realizarse mediante un

proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse por
analogía con una norma tan conocida como ISO 9001, como el sistema de
calidad para la Seguridad de la Información. Garantizar un nivel de
protección total es virtualmente imposible, incluso en el caso de disponer
de un presupuesto ilimitado. El propósito de un Sistema de Gestión de la
Seguridad de la Información es por tanto, garantizar que los riesgos en
seguridad de información sean conocidos, asumidos, gestionados y
minimizados por la organización, de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en relación a los riesgos, el entorno y las tecnologías.

Es decir, los Sistemas de Gestión de la Seguridad de la Información

proporcionan herramientas para el análisis y el tratamiento de los riesgos a que se ve
expuesta la información dentro de una organización, garantizando la confianza dentro
de las relaciones comerciales, que deben fundamentarse en el cumplimiento de la
legalidad, la adaptación dinámica a las condiciones variables del entorno y la
protección adecuada de los objetivos de negocio, con el fin de asegurar el máximo
beneficio y el aprovechamiento de nuevas oportunidades.
Cabe destacar, que con un Sistema de Gestión de la Seguridad de la
Información, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla, mediante un procedimiento

4
sistemático, documentado y conocido por todos, que se revisa y mejora
constantemente. Al respecto, el autor citado anteriormente plantea que:

Un Sistema de Gestión de la Seguridad de la Información ayuda a

establecer políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de
exposición menor al nivel de riesgo que la propia organización ha
decidido asumir.

El Centro de Tecnología de Información y Comunicación del Decanato de

Ciencias y Tecnología, según la información descrita en la página web de la UCLA,
es una unidad administrativa adscrita a la Dirección del Decanato de Ciencias y
Tecnología, que ofrece servicio y apoyo integral en Tecnologías de la Información a
todo el decanato en las funciones de docencia, investigación, extensión y gestión
administrativa; ofreciendo atención presencial y a distancia a profesores, alumnos y
personal administrativo.
La misión que tiene el CTIC es la prestación de servicios a la comunidad
universitaria, la cual se encuentra en franca expansión, por lo que el centro ha tenido
un crecimiento constante y sostenido en relación a la cantidad de equipos que posee, a
los usuarios de su servicio y a las herramientas que maneja; exigiendo un mayor
esfuerzo en cuanto a la planificación, normativas de uso y la seguridad en general.
Esto ha generado nuevos retos, ya que sus activos tales como: los servicios que
presta, la información que maneja, los recursos de hardware y software que tiene, así
como su recurso humano, pueden estar expuestos a situaciones de inseguridad.
Es importante destacar que, según la información proporcionada por el jefe de
CTIC, el centro presenta problemas de funcionamiento, y aunque se han tomado
algunas medidas de control para satisfacer los requisitos mínimos de seguridad, estos
esquemas han sido efectivos parcialmente. Entre las deficiencias que comentó se
puntualizan las siguientes:

5
 1. Carencia de un manual de funciones y procedimientos que indique
claramente las actividades y servicios que presta cada área, con la
especificación de los pasos que deben darse para el logro de los objetivos.
2. Solapamiento de funciones del personal encargado de la gestión de los
laboratorios con las de soporte técnico, durante los fines de semana.
3. Desarrollo de funciones que no son responsabilidad directa del centro
(caso: elaboración de la nómina del personal de preparadurías).
4. Ineficiente distribución de los espacios físicos.
5. Carencia de políticas de seguridad específicamente diseñadas para el
CTIC, así como también de un de control de acceso efectivo a sus
instalaciones.
6. Deficiencia en el servicio eléctrico.
7. Poco personal para el cumplimiento de algunos servicios o funciones.
8. Hurto de bienes del personal que labora en el centro.
9. Falta de un plan de entrenamiento y capacitación del personal, que
redunde en beneficios de acuerdo a los servicios que el centro presta.
10. Carencia de un plan de motivación que permita al personal ir escalando
posiciones dentro del centro o del decanato.
11. Ineficiente plan de desincorporación de equipos en desuso, por parte de
Bienes Nacionales.
12. Inexistencia de un plan de crecimiento a mediano y largo plazo.
13. Falta de continuidad en los planes que se trazan, sobre todo cuando se
renueva la Jefatura del Centro.
14. Subutilización de equipos en ciertos lapsos de tiempo (noches, fines de
semana e inicio de semestre).

Estas situaciones podrían manejarse adecuadamente si se contase con un

sistema integral de seguridad, que ayudaría, además, a clarificar las acciones que
deben darse para minimizar los incidentes de seguridad.

6
 Un Sistema de Gestión para la Seguridad de la Información puede ayudar al
CTIC a estudiar los riesgos a los que está sometida toda su información, a evaluar que
nivel de riesgo puede asumirse y a implementar los controles que se consideren
necesarios. También permitiría documentar las políticas y procedimientos, con un
proceso continuo de revisión y mejora de todo el sistema.
Partiendo de la situación antes expuesta, surgen las siguientes interrogantes:
1. ¿Qué es lo que sucede en el CTIC en materia de Seguridad de la
Información?
2. ¿Cuáles aspectos deben considerarse para determinar si es viable técnica,
operativa y económicamente el mejoramiento de la Seguridad de la
Información en el CTIC?
3. ¿Cómo podría mejorarse la Seguridad de la Información que se maneja en
el centro?

Para dar respuesta a estas interrogantes, se propone el Establecimiento

(sinónimo de diseño en el marco de la ISO 27001) de un Sistema de Gestión de la
Seguridad de la Información, basado en normas o estándares internacionales, que
tomen en cuenta la robustez del sistema de seguridad y la fácil adecuación a los
nuevos retos, redundando en un mejor funcionamiento del CTIC.

Objetivos de la investigación

General

Establecer un Sistema de Gestión para la Seguridad de la Información para el

Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y
Tecnología, de acuerdo al estándar internacional ISO/IEC 27001:2005.

7
 Específicos

1. Diagnosticar la situación actual del Centro de Tecnología de Información

y Comunicación del Decanato de Ciencias y Tecnología en relación a la
Seguridad de la Información.
2. Determinar la factibilidad técnica, operativa y económica del
Establecimiento de un Sistema de Gestión para la Seguridad de la
Información para el Centro de Tecnología de Información y
Comunicación del Decanato de Ciencias y Tecnología, de acuerdo a la
norma ISO/IEC 27001:2005.
3. Diseñar un Sistema de Gestión para la Seguridad de la Información para
el Centro de Tecnología de Información y Comunicación del Decanato de
Ciencias y Tecnología, basado en la norma ISO/IEC 27001:2005.

Justificación e Importancia

La importancia de la seguridad en los Sistemas de Información se viene

tratando desde hace algunos años en las organizaciones, las cuales hacen grandes
inversiones en sistemas y dispositivos de seguridad, como firewalls, antivirus,
sistemas de backup, entre otros. Sin embargo, esto no es suficiente para considerar
que un sistema es seguro en relación a la integridad, la disponibilidad y la
confidencialidad de la información que maneja. Por ello, los mecanismos de
seguridad necesitan de un Sistema de Gestión que los integre a las políticas generales
de la empresa, ya que en muchos casos, el plan de seguridad adoptado no considera a
la organización como un todo, sino que se centra en mecanismos de seguridad
tecnológicos, lo que conlleva a que los planes de seguridad sean no coordinados y
desproporcionados al beneficio que aportan.
De aquí que se justifique la evaluación de un Sistema de Gestión para la
Seguridad de la Información en base a normas internacionales, ya que permite
maximizar los esfuerzos para asegurar la organización en todos sus niveles, apoya el

8
cumplimiento del marco legal, aporta una metodología para el Análisis y Gestión del
Riesgo y garantiza la implantación de medidas de seguridad consistentes, eficientes y
proporcionales al valor de la información protegida.
En el caso del CTIC, la Seguridad de la Información es un requisito
fundamental, ya que es una unidad de servicio que interactúa con muchas otras, tanto
internas como externas al decanato. Además, deben considerarse los procesos que
acaban de ser implementados, tales como, la gestión de cuentas de usuarios, la
gestión automática del control de impresión en base a cuotas prepagadas y gestión del
software licenciado obtenido por convenio; así como también, los que piensan
desarrollarse a mediano plazo (apoyo a la educación bimodal y manejo del material
generado por las diferentes coordinaciones de asignaturas). Por lo tanto, cualquier
falla en la Seguridad de la Información de estos subsistemas podría originar
contratiempos en el desarrollo normal de los servicios que el centro presta, por lo que
se propone y se justifica la adopción de un SGSI para el CTIC basado en el estándar
ISO/IEC 27001:2005, que adicionalmente, ayudaría a mantener la continuidad en los
planes de desarrollo y de seguridad que se adopten, independientemente de quien esté
a cargo de la Jefatura del Centro.

Alcance y Limitaciones

Esta investigación propuso el Establecimiento de un Sistema de Gestión para la

Seguridad de la Información para el Centro de Tecnología de Información y
Comunicación del Decanato de Ciencias y Tecnología, centrado en la fase de
Planeación del estándar internacional ISO/IEC 27001:2005 y en los controles
propuestos en la norma ISO/IEC 27002:2005. Para ello, se realizó una evaluación de
las amenazas y riesgos a la que estaban sometidos los activos del CTIC, precedida por
un diagnóstico de la situación actual en materia de Seguridad de la Información; que
además permitió realizar un análisis comparativo de los controles que se encontraban
implantados en el centro, respecto a los controles propuestos por el estándar
seleccionado.

9
 El estándar ISO/IEC 27001:2005 contempla cuatro (4) fases, a saber:
Establecimiento, Implantación, Monitoreo/Revisión y Mantenimiento/Mejora del
SGSI. De estas fases, sólo se realizó la primera, cediendo la ejecución de las otras tres
al personal del CTIC.
Por su parte, la norma ISO/IEC 27002:2005, que es un “Código de Buenas
Prácticas para la Seguridad de la Información”, se compone de cláusulas, objetivos de
control y controles; donde una cláusula abarca un ámbito específico de seguridad, un
objetivo de control es una categoría de seguridad principal dentro de cada cláusula y
un control es un procedimiento (o más) para satisfacer un objetivo de control.
Debido a lo extenso del “Código de Buenas Prácticas”, el cual contempla once
(11) cláusulas de seguridad en treinta y nueve (39) objetivos de control y ciento
treinta y tres (133) controles - ver anexo B -, este estudio se limitó, para la fase de
análisis del plan de seguridad actual, a las siguientes siete (7) cláusulas de la norma:
(a) Política de seguridad. (b) Aspectos Organizativos. (c) Gestión de Activos. (d)
Seguridad ligada a los Recursos Humanos. (e) Seguridad Física y Ambiental. (f)
Control de Acceso. (g) Gestión de Incidentes. Para estas cláusulas se seleccionaron
cuarenta y tres (43) controles.
Por otra parte, para el Establecimiento del SGSI, que fue la fase contemplada en
este estudio, se propusieron setenta y nueve (79) controles distribuidos en las once
(11) cláusulas de seguridad – ver figura 11: Enunciado de Aplicabilidad..
El alcance de la investigación a estas cláusulas de seguridad fue pertinente, ya
que el estudio se centró en las áreas más crítica de la organización, como son la
gestión de activos e incidentes de seguridad, junto con las políticas y normativas de la
misma. También fue válida, desde el punto de vista del estándar, ya que la norma
permite incorporar controles en la medida en que se vayan identificando como
necesarios.
Para este estudio y los objetivos trazados no hubo limitaciones.

10
 CAPÍTULO II

MARCO TEÓRICO

Antecedentes

Las organizaciones de hoy en día necesitan establecer políticas de seguridad

que garanticen el buen desempeño de sus actividades, haciéndolas más competitivas
en este mundo globalizado, donde la información y los servicios que se prestan son
considerados activos, por lo que deben asegurarse, tanto para mantener en reserva sus
estrategias, como para restringir los datos confidenciales de sus socios comerciales,
de sus clientes y del personal que las conforman. Es más, en muchos países existen
leyes que condicionan la gestión de la información dentro de las empresas.
A continuación, se hace referencia a trabajos de investigación realizados que
sirvieron de apoyo, como antecedentes, al diseño de un Sistema de Gestión para la
Seguridad de la Información para el Centro de Tecnología de Información y
Comunicación del Decanato de Ciencias y Tecnología, basado en el estándar
ISO/IEC 27001:2005.
Directamente vinculado con el CTIC, existe un trabajo desarrollado por
Gutiérrez, Y. (2003) quien, teniendo a su cargo la Jefatura del centro, hizo un estudio
titulado: “Proyecto Integral de Reacondicionamiento de áreas, servicios y seguridad
del Centro de Computación como solución al problema de funcionalidad del mismo”,
en el cual planteó los problemas que se estaban presentando debido al crecimiento en
la demanda de los servicios por parte de los usuarios. Estos problemas eran: falta de
personal, falta de equipos y sobrecarga de las líneas eléctricas, entre otros.

11
 Los objetivos de proyecto eran: (a) Modificar los ambientes ubicados en el ala
noreste de la planta alta del edificio, específicamente los laboratorios 2, 3A, 3B, 4 y
5. (b) Reparar y mejorar los equipos “DIGITAL” instalados en el área de
multiusuarios. (c) Instalar una cámara en cada laboratorio de computación, conectada
a un PC, para control y visualización de las áreas. (d) Colaborar con la administración
en lo que respecta a la ampliación de la capacidad eléctrica, lo cual implicaba adecuar
las líneas, los ductos de alimentación y la sustitución del breaker principal, a fin de
soportar la carga eléctrica actual y futura del Centro de Computación.
De los objetivos trazados sólo se logró alcanzar el primero y el trabajo se
consideró relevante, a pesar de contar con más de cinco (5) de elaborado, ya que es la
única investigación con la que se contaba para ese momento y los problemas que se
plantearon tenían relación con la Seguridad de la Información del CTIC.
Por su parte Angeli, J. (2005), siendo director de Telecomunicaciones de la
UCLA, se percató de la urgencia que tenía la Universidad de garantizar la seguridad
informática en su plataforma de Telecomunicaciones, por lo que presentó un proyecto
titulado: “Propuesta para la aprobación en Consejo Universitario de las Normas de
Seguridad Informática y Telecomunicaciones de la Universidad Centroccidental
Lisandro Alvarado”.
Este trabajo tenía como objetivos específicos los siguientes: (a) Establecer los
alcances y limitaciones de las normas de seguridad informática y de
telecomunicaciones. (b) Definir las normas de seguridad informática y de
telecomunicaciones. (c) Establecer los niveles de responsabilidades para cada uno de
los servicios, recursos informáticos y de telecomunicaciones. (d) Requerimientos
mínimos que deben poseer las configuraciones de seguridad de los sistemas que
cobijan el alcance de la política. (e) Definición de las violaciones y consecuencias del
no cumplimiento de las normas de seguridad. (f) Responsabilidades de los entes
encargados de la seguridad y de los usuarios, respecto a la información a la que tienen
acceso.
Esta propuesta fue aprobada por el Consejo Universitario, en su sesión ordinaria
número 1647 (actualmente una norma para la UCLA) y tiene relación directa con este

12
trabajo, ya que regula las acciones que deben tenerse presente para garantizar la
Seguridad de la Información que circula por la Red-UCLA, norma que debe
contemplarse en el CTIC.
En Uruguay, Corti, M. (2006) realizó un trabajo de tesis titulado: “Análisis y
Automatización de la Implantación de SGSI en Empresas Uruguayas”. En ese trabajo
se definen los requerimientos para el desarrollo de una herramienta que permitiese
automatizar la implantación y mejora continua de un SGSI. La herramienta se
confeccionó para organizaciones uruguayas con características definidas. Para ello, la
autora hace un análisis de la norma BS 7799, con la finalidad de desarrollar una
metodología para la implantación de SGSI que estuviese al alcance de la pequeña y
media empresa. Su trabajo se centró en las actividades de valoración y tratamiento de
riesgos para organizaciones con características representativas de las organizaciones
uruguayas.
Luego, procedió a diseñar la metodología, aplicándola posteriormente en una
empresa hipotética (con las características más comunes de las PYMES del Uruguay).
La finalidad de aplicar la metodología a la empresa hipotética era que sirviese como
guía de implementación para las empresas que, encajando con el modelo propuesto,
quisiesen aplicar la metodología desarrollada.
Entre los objetivos del trabajo se encuentran: (a) Contribuir con la elaboración
de herramientas y metodologías que faciliten la adopción de estándares de seguridad
y la implantación de SGSI en organizaciones uruguayas. (b) Profundizar en las
“Buenas Prácticas” y controles sugeridos por los estándares, pero adaptados a las
necesidades y características representativas de las empresas locales.
Concluye la autora exponiendo que la metodología presentada define variantes
y procesos que complementan el modelo BS 7799, especificando métodos y formas
más simples de implantar un SGSI en la pequeña y mediana empresa que cumpla con
las características planteadas, para así, tras observar los resultados, enriquecer el
modelo propuesto. Además, invita a estudiar mejores formas de automatizar la
asociación entre las posibles amenazas y los controles especificados en el estándar
ISO/IEC 17799:2005, con el propósito de simplificar la selección de los mismos.

13
 Ese estudio sirvió de marco de referencia para esta investigación, ya que el
estándar sobre el que desarrolló fue el BS 7799, equivalente al ISO/IEC 27001
utilizado en este trabajo, proponiendo la selección objetiva de algunos controles y
objetivos de control, lo que reduce el trabajo de implementación, y posponiendo la
selección de nuevos controles para las fases de monitoreo y mejora continua.
Particularmente, la selección adecuada de un grupo de controles ayudó a limitar el
alcance de esta propuesta, facilitando tanto el análisis de la situación actual como el
establecimiento del SGSI para el CTIC.
Por su parte, Mujica, M. (2006), presentó el estudio: “Diseño de un Plan de
Seguridad Informática para la Universidad Nacional Experimental Politécnica
Antonio José de Sucre, Sede Rectoral”, como solución a los diversos incidentes de
seguridad en su servicio de información, tales como: ataques de denegación de
servicio (DoS) al servidor DNS, presencia de correo SPAM de manera cotidiana,
pérdida de información institucional de forma involuntaria en las computadoras
administrativas, presencia de virus y troyanos en el sistema y la falta de un plan de
seguridad.
El autor demostró como un SGSI, basado en las normas ISO/IEC 27001:2005 e
ISO/IEC 17799:2005, ayudaría en la implementación del plan de seguridad que la
institución (UNEXPO) necesitaba para controlar y gestionar los incidentes de
seguridad.
Los objetivos específicos del estudio eran: (a) Diagnosticar la situación actual
de la seguridad informática. (b) Determinar la factibilidad operativa, técnica y
económica de diseñar el Plan de Seguridad. (c) Diseñar el Plan de Seguridad
Informática. (d) Evaluar el diseño del Plan de Seguridad.
Ese trabajo de grado tiene relación directa con esta investigación ya que el
objeto de estudio (sobre quien se hace la investigación) es similar, la solución
planteada tiene que ver con la Seguridad de la Información y la metodología sugerida
es la misma (ISO/IEC 27001). Esto permitió evaluar el proceso que siguió el autor
durante la implementación del SGSI de la UNEXPO y orientar, así, el
establecimiento del SGSI para el CTIC.

14
 Por último, Tersek, Y. (2007) presentó un trabajo de grado en la Universidad
Centroccidental “Lisandro Alvarado”, Barquisimeto, Venezuela, titulado: “Sistema
de Gestión de Seguridad de la Información para un sistema de información. Caso de
estudio: Sistema Administrativo Integrado SAI en la Red de datos de la UNEXPO –
Puerto Ordaz”, en el que tomando como modelo el estándar internacional ISO/IEC
27001:2005, procedió a ejecutar las etapas para el establecimiento de un SGSI para el
Sistema Administrativo Integrado de la UNEXPO – Puerto Ordaz.
Los objetivos de ese trabajo eran: (a) Diagnosticar la necesidad de un Sistema
de Gestión de Seguridad de la Información para los Sistemas de Información en la
Universidad Nacional Experimental Politécnica “Antonio José de Sucre”,
Vicerrectorado de Puerto Ordaz. (b) Determinar la factibilidad operativa, técnica y
económica para el establecimiento de un Sistema de Gestión de la Seguridad de la
Información para la Universidad Nacional Experimental Politécnica “Antonio José de
Sucre”, Vicerrectorado de Puerto Ordaz. (c) Diseñar un Sistema de Gestión de
Seguridad de la Información para el Sistema Administrativo Integrado SAI en la red
de datos de la Universidad Nacional Experimental Politécnica “Antonio José de
Sucre”, Vicerrectorado de Puerto Ordaz.
El trabajo expone la necesidad de integrar los procesos manuales y
automatizados, con el fin de asegurar un flujo de información adecuado que genere
información actualizada, oportuna y que sirva de soporte a la toma de decisiones, para
así, mejorar la gestión administrativa, financiera y no financiera de la institución. Para
ello, la autora describió los pasos que debieron llevarse a cabo para el establecimiento
del SGSI, contemplando tanto los procesos manuales como los automatizados, tal
como se propuso en esta investigación.
Ese estudio se relaciona con este trabajo ya que aplica el mismo estándar -
ISO/IEC 27001:2005 - para una institución pública de educación superior, con la
diferencia de que aquel se hizo sobre un sistema administrativo (SAI) y éste se realizó
para una unidad organizativa (el CTIC del DCyT de la UCLA).

15
 Bases Teóricas

En la actualidad, las organizaciones necesitan manejar Sistemas de Información

que apoyen la gestión de sus operaciones y el logro de sus objetivos económicos,
financieros y sociales. Sin embargo, estos sistemas deben ser apoyados por un
Sistema de Gestión de la Seguridad de la Información con el objeto de garantizar la
confidencialidad, la integridad y la disponibilidad de la información. Para poder
comprender lo que es un Sistema de Gestión de la Seguridad de la Información
(SGSI) y como se implementa, se deben dominar conceptos como: Sistema de
Información, Seguridad de la Información, Análisis de Riesgo, Gestión de Riesgos,
Metodologías para la Estimación y Control del Riesgo. A continuación se abordan
cada uno de estos conceptos y la relación que tienen con un SGSI.

Sistemas de Información

Kast, F. y otros (1979) definen Información como: “…la sustancia de los

sistemas de comunicaciones, en sus diversas formas (impulsos electrónicos, palabras
escritas o habladas, informes formales). Es el ingrediente básico para la toma de
decisiones, aumenta el conocimiento y podría llevar a cambios en creencias, valores y
actitudes”. Sin embargo, la información debe ser oportuna, a lo que Bustos, E. (2001)
agrega: “A menos que la información sea correctamente analizada y se proporcione a
su debido tiempo a quienes deben tomar las decisiones, será virtualmente inútil”.
En cuanto a Sistema, Sorberamurina, V. (2007) lo define como “… un conjunto
de elementos organizados e interrelacionados, que interactúan entre sí en busca de un
fin específico para el todo que los agrupa y que no puede ser explicado por las
particularidades de sus componentes”.
Por su parte, Soto, L. (2007) define Sistema de Información como:

El sistema de personas, registros de datos y actividades que procesa los

datos y la información en cierta organización, incluyendo manuales de

16
 procedimiento y procesos automatizados. El Sistema de Información
basado en computadoras, que es el campo de estudio de las Tecnologías
de Información, no debe tratarse como tema aparte del enorme Sistema de
Información del cual forman parte.

Los Sistemas de Información tratan el desarrollo, uso y administración de la

infraestructura tecnológica de una organización, a lo que Sorberamurina, V. (2007),
agrega:

En todo Sistema de Información se realizan cuatro actividades básicas

tales como: (a) La entrada de información, que resulta del ingreso de
datos en el sistema. (b) El almacenamiento de los datos ingresados. (c) El
procesamiento de la información, dependiente de las capacidades del
sistema. (d) Y la salida de la información, con la función de sacar los
datos ingresados o ya procesados, y en donde la salida puede ser la
entrada de otro sistema de información.

Seguridad de la Información

En ISO/IEC 27000:2009 definen Seguridad de la Información como: “La

preservación de la Información y de los Sistemas que la gestionan en sus dimensiones
de Confidencialidad, Integridad y Disponibilidad. Además, pueden considerarse otras
dimensiones, como: Autenticidad, Responsabilidad, No Repudio y Confiabilidad”.
Por su parte, López, F. y otros, (2006) definen Seguridad de la Información
como:

La capacidad de las redes o de los sistemas de información para resistir,

con un determinado nivel de confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

En la ISO/IEC 27000:2009 e ISO/IEC 27001:2005 proponen las siguientes

explicaciones para cada una de las propiedades (dimensiones) básicas de la Seguridad

17
de la Información (Confidencialidad, Integridad y Disponibilidad); de donde se
resume:
Confidencialidad. Propiedad de que la información no sea accesible por
personas, entidades o procesos no autorizados. La confidencialidad busca prevenir el
acceso no autorizado, ya sea en forma intencional o no. La pérdida de la
confidencialidad puede ocurrir de muchas maneras, como por ejemplo: la publicación
de información confidencial de la organización.
Integridad. Propiedad de que la información sea exacta y completa. Se refiere
al hecho de que los métodos que gestionan la información garanticen su tratamiento
sin errores. La información no debe cambiar mientras se está transfiriendo o
almacenando y nadie debe modificar el contenido de la información o los archivos, ni
eliminarlos.
Se puede acotar que la integridad busca asegurar que no se realicen
modificaciones por personas no autorizadas a los datos, información o procesos; no se
realicen modificaciones no autorizadas por personal autorizado a los datos,
información o procesos; y que los datos o información sean consistentes tanto interna
como externamente.
Disponibilidad. Propiedad de que la información, servicios y recursos sean
accesibles por las entidades autorizadas cuando ellas lo requieran. Persigue el acceso
confiable y oportuno a los datos, información o recursos por parte del personal
adecuado.
Se refiere al hecho de que los usuarios que necesitan la información y a quien
va dirigida, siempre tengan acceso a ella. Los métodos para garantizar la
disponibilidad incluyen: un control físico y técnico de las funciones de los sistemas
de datos, la protección de los archivos, su correcto almacenamiento y la realización
de copias de seguridad.
La disponibilidad es la parte de la Seguridad de la Información más difícil de
implementar.

18
 Análisis y Gestión del Riesgo

Según Calderón, I. (2002), el primer paso para mejorar la seguridad de un

sistema es dar respuesta a estas preguntas básicas: ¿Qué se debe proteger? ¿Contra
qué debe protegerse? ¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a invertir
para obtener una protección adecuada?
Estas preguntas conforman el fundamento del proceso llamado “Análisis del
Riesgo” que es una parte muy importante de la Seguridad Informática. No se puede
proteger algo si no se sabe contra que hay que protegerlo, porque conociendo los
riesgos se puede plantear las políticas y técnicas que se necesiten para reducirlos.
A continuación se describen algunos términos que son necesarios comprender
para llevar a cabo el proceso de Análisis y Gestión del Riesgo o AGR (tomado de la
norma ISO/IEC 27000:2009 y de la metodología MAGERIT):
Activo: Cualquier cosa - tangible o no - que tenga valor para la organización.
Valoración de Activo: Proceso de asignarle valor a un activo de acuerdo a las
dimensiones (propiedades) de la seguridad de la información.
Vulnerabilidad: Debilidad de un activo o de una salvaguarda que puede ser
explotada por una amenaza.
Amenaza: Causa potencial de un incidente no deseado, que podría ocasionar un
impacto sobre uno o más activos.
Impacto: Daño sobre un activo derivado de un ataque.
Ataque: Intento no autorizado de utilizar, destruir, alterar, exponer, inutilizar o
robar un activo.
Evento: Ocurrencia de un incidente que altera el estado de un sistema, servicio
o red debido a una falla en la política de seguridad o en las salvaguardas, o una
situación desconocida que puede comprometer la seguridad.
Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas,
procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales
pueden ser administrativas, técnicas, de gestión o de naturaleza legal.

19
 Riesgo: Combinación de la probabilidad de ocurrencia de un evento y el
impacto que produciría sobre un activo.
Análisis del Riesgo: Uso sistemático de la información para identificar las
amenazas y calcular el riesgo.
Evaluación del Riesgo: Proceso de comparar el riesgo estimado con un criterio
de riesgo dado para determinar la importancia del riesgo.
Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una
organización con relación al riesgo.
Tratamiento del Riesgo: Proceso de selección e implementación de controles
para gestionar el riesgo.
Así pues, el Análisis del Riesgo consiste en determinar la probabilidad de que
se materialice una amenaza. Consiste en detectar las amenazas a las que está expuesto
un sistema, el grado de probabilidad de ocurrencia y sus posibles consecuencias.
El objetivo del Análisis de Riesgos, según Cancelado, A. (2003) es: “Identificar
los sectores más vulnerables de la organización y permitir concentrar los esfuerzos de
control en los lugares críticos. Esta tarea involucra descubrir las contingencias,
amenazas, peligros y vulnerabilidades de la organización respecto a la protección de
sus recursos informáticos”. Para ello, propone los siguientes pasos: (a) Identificar los
riesgos. (b) Detectar los componentes amenazados. (c) Estimar la probabilidad de
ocurrencia de los incidentes. (d) Evaluar las consecuencias para cada una de las
amenazas y estimar las pérdidas esperadas. (e) Identificar las salvaguardas a adoptar.
(f) Estimar el costo de implementación de las medidas de seguridad. (g) Seleccionar
los controles a implementar, en base a un análisis costo/beneficio.
Para el caso de riesgos cuantificables, con probabilidad de ocurrencia
matemáticamente determinada, como el caso de fallas de hardware, es relativamente
sencillo hacer un Análisis de Riesgo y determinar la mejor relación costo/beneficio de
las distintas alternativas de seguridad. Sin embargo, el problema se presenta cuando
el riesgo no es cuantificable. En ese caso, se deben utilizar métodos alternativos para
categorizar riesgos y, en consecuencia, evaluar las medidas de seguridad a adoptar.

20
 En otro orden de ideas, la Gestión del Riesgo es la coordinación de las
actividades necesarias para controlar las vulnerabilidades y amenazas de la seguridad
existentes en una organización. Estas actividades se conforman por un proceso
continuo de evaluación, tratamiento, monitoreo, revisión y reevaluación del riesgo.
Al respecto, Cancelado, A. (2003) comenta: “La administración del riesgo es
una aproximación científica a su comportamiento, anticipando posibles pérdidas, con
el diseño e implementación de procedimientos que minimicen la ocurrencia de esas
pérdidas o el impacto financiero que puedan ocasionar.” También describe los
objetivos de la Gestión del Riesgo, de donde se extrae: Garantizar la mejor gestión de
los recursos; minimizar el impacto causado por la materialización de las amenazas;
proteger a los empleados de perjuicios; conocer las obligaciones contractuales y
legales; garantizar el funcionamiento de la empresa y garantizar la pronta reanudación
de las operaciones ante un incidente.
Concluyendo, se puede decir que el proceso de Análisis y Gestión del Riesgo es
el conjunto de actividades que deben llevarse a cabo para conocer, evaluar y controlar
el riesgo a que están sometidos los activos de una organización.
En las siguientes páginas se describen las actividades que conforman el proceso
de Análisis y Gestión del Riesgo, en base a lo que sugiere la norma ISO/IEC
27001:2005.

Identificación de los activos

Se debe hacer una lista de todo lo que se desea proteger, la cual debe basarse
en el plan de negocio, en el alcance del SGSI y en el sentido común. Los ítems a
asegurar pueden ser objetos tangibles o intangibles, y debe incluir todo lo que se
estime valioso para la organización. Para determinar si algo es valioso, hay considerar
el impacto en relación a: pérdida de ingresos, tiempo y costo de reparación o
reemplazo. El proceso puede requerir conocimientos de la legislación local vigente,
un completo entendimiento del equipo, la infraestructura y del plan de seguros que se

21
tenga contratado. A continuación se listan algunos ítems que, probablemente, deban
tomarse en cuenta:
Tangibles: Computadora, datos privados, respaldos, manuales, guías y libros,
listados, medios de distribución de programas comerciales, equipos y cableado de
comunicación, registros de personal y registros de auditoría.
Intangibles: Salud y seguridad del personal, privacidad de los usuarios,
contraseñas personales, imagen pública y reputación, buena voluntad de los clientes o
compradores, disponibilidad de proceso e información sobre la configuración.
Hay que tener una perspectiva amplia sobre éstos y otros ítems, en lugar de
considerar sólo los aspectos asociados al cómputo. Si existe la preocupación de que
alguien lea los reportes financieros internos, no importa si lo hacen en un listado
impreso que se ha desechado o en un mensaje de correo electrónico.

Clasificación de los activos

Consiste en agrupar los activos identificados, en base a características

preestablecidas, para facilitar su gestión. Se debe determinar el grado de dependencia
que hay entre los activos y luego valorar cada uno de los activos de acuerdo a las
dimensiones de la seguridad de la información (Confidencialidad, Integridad,
Disponibilidad) que se desean controlar.
La valoración de un activo consiste en asignarle un peso, tomando en cuenta la
función que cumplen dentro de los procesos del negocio y la dimensión de la
seguridad en el cual se ven involucrados, a lo que López, F. y otros (2006) agregan:
“La valoración es la determinación del coste que supondría salir de una incidencia…
El valor puede ser propio o acumulado… Los activos inferiores en un esquema de
dependencias, acumulan el valor de los activos que se apoyan en ellos”.
En un análisis cuantitativo el valor de un activo se puede asociar con su costo
monetario. En cambio, en un análisis cualitativo se deben confeccionar tablas de
valor para valorar los activos. Sin embargo, sin importar el tipo de análisis que se

22
efectúe, se deben considerar las relaciones de dependencias entre los activos, lo que
permite calcular su valor acumulado.
La dependencia se da por la relación que hay entre los activos, a lo que los
autores anteriores agregan:

Los activos más llamativos suelen ser los datos y los servicios, pero estos
activos dependen de otros más prosaicos como pueden ser los equipos, las
comunicaciones o las frecuentemente olvidadas personas que trabajan con
aquellos. Por ello, es importante el concepto de “dependencias entre
activos” o la medida en que un activo superior se vería afectado por un
incidente de seguridad en un activo inferior… Las dependencias entre
activos permiten relacionar los demás activos con los datos y los
servicios.

Identificación de las amenazas

El siguiente paso es hacer una lista de las posibles amenazas que afectan a los
activos, donde algunas amenazas serán ambientales, como incendios, terremotos,
explosiones, inundaciones o fallas estructurales. Algunas amenazas provienen del
personal y otras más del medio.
Como ejemplos de amenazas se tienen: enfermedades de personas claves o
simultáneas del personal (epidemias); pérdida por renuncia, despido o muerte de
personal clave; interrupción de servicios tales como teléfono, red, agua, electricidad;
rayos, inundaciones; robo de unidades de discos o de la computadora de una persona
clave; aparición de un virus; quiebra de un proveedor; errores en programas;
subvención de empleados o de terceras partes; problemas laborales; terrorismo
político; intrusos maliciosos; colocación de información privada o inapropiada en
Internet; y más.

23
Determinación de los Riesgos

Se pueden identificar y reducir los riesgos, pero no se pueden eliminar por

completo.
Con frecuencia, el personal es el eslabón más débil de un sistema de seguridad.
Un sistema muy seguro puede ser vulnerable si el administrador coopera con quienes
quieren penetrar. Las personas pueden comprometerse (corromperse) con dinero,
amenazas o argumentos ideológicos. También pueden equivocarse, como por
ejemplo: enviando un correo electrónico con contraseñas a la persona equivocada. Es
más barato y fácil comprometer a una persona que a las salvaguardas tecnológicas.
Así pues, una vez identificadas las amenazas, debe estimarse la probabilidad de
que cada una de ellas se materialice. Esto puede ser más sencillo si se consideran
ocurrencias (frecuencias) anuales. Algunas estimaciones se pueden obtener de
terceros, como las compañías de seguros, o de registros históricos.
Para calcular el riesgo se debe determinar la frecuencia con la que se espera que
se materialice una amenaza y el grado de degradación que produciría sobre el activo.
Al respecto, López, F. y otros (2006) añaden:

La degradación mide el daño causado por un incidente, en el supuesto de

que ocurriera, y se suele caracterizar como una fracción del valor del
activo con expresiones como “totalmente degradado” o “degradado en
una fracción”. Por otro lado, la frecuencia pone en perspectiva la
degradación, pues una amenaza puede ser de terribles consecuencias pero
de muy improbable materialización; mientras que otra amenaza puede ser
de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un daño considerable.

Así pues, el riesgo es una función que depende de: El valor acumulado del
activo; la degradación del activo, si la amenaza se materializa; y la frecuencia
(probabilidad) de materialización de la amenaza. Matemáticamente:

Riesgo = Valor_Activo x Degradación_Activo x Frecuencia_Amenaza

24
Revisión de los riesgos

El análisis de riesgos no debe hacerse sólo una vez, sino que es necesario
actualizarlo periódicamente. Además, la parte relativa a la evaluación de amenazas
debe repetirse cada vez que la operación y la estructura cambien en forma
significativa. Si ocurre una reorganización, si se hace una mudanza a otro edificio, si
se cambian proveedores o suceden otros cambios importantes, se tienen que volver a
evaluar las amenazas y las pérdidas potenciales.

Análisis Costo/Beneficio

La determinación del riesgo consiste en asignarle un valor a cada riesgo, por lo

que luego debe calcularse el costo de defenderse (contra la amenaza detectada). Para
ello, se elabora una tabla en la que se destaque el costo de la pérdida versus el costo
de la defensa, lo que facilita la toma de decisiones; esto es, si vale la pena desplegar
la salvaguarda, o por el contrario, si el riesgo será asumido por la gerencia. Este
análisis se hace en base al “Costo de las Pérdidas” versus “el Costo de Prevención”.
Al finalizar el proceso de análisis se debe elaborar una tabla que indique por
activo: (a) Su valor, de acuerdo a una dimensión de seguridad. (b) Las amenazas
asociadas a cada activo y a cada dimensión. (c) Degradación del activo, si la amenaza
se materializa. (d) Probabilidad o Frecuencia esperada de materialización de la
amenaza. (e) Valoración de cada riesgo detectado. (f) Control(es) propuesto(s) para
gestionar el riesgo. (g) Valoración del nuevo riesgo, si se implantase el control
recomendado. En la figura 1 se muestra un ejemplo de una tabla AGR.
El proceso de determinar si cada control debe emplearse o no, es ahora directo.
Se hace ordenando descendentemente la tabla de riesgos y comparando el valor del
riesgo versus el costo de la defensa. Esta comparación tiene como resultado una lista
de lo que se debe hacer, en orden de prioridad, tratando de evitar pérdidas elevadas y
probables en lugar de preocuparse por pérdidas menos probables y poco cuantiosas.

25
Figura 1. Tabla de Análisis y Gestión de Riesgos. Fuente: Autor (2009).

Selección de controles sobre el análisis Costo/Beneficio

Los controles operan de dos formas, previniendo la amenaza ó recuperando el

activo, posiblemente a un estado anterior. Para decidir que hacer, se deben estudiar
las cifras de prevención y de recuperación, con el fin de atender primero los ítems de
más alta prioridad. Si el costo de prevención es menor que el de recuperación, es
recomendable invertir en la estrategia de prevención. Por el contrario, si el costo de
prevención es mayor que el de recuperación, no debe hacerse nada hasta que se hayan
atendido otras amenazas.

Informar a la Directiva.

La seguridad no es gratuita, las medidas más complicadas de seguridad son más

caras y los sistemas más seguros, por lo general, son más difíciles de usar; por lo que
al terminar el análisis del riesgo y del costo/beneficio, se debe convencer a los
directivos de la organización de la necesidad de tomar acción para lograr establecer
una política que sea adoptada oficialmente.

26
 En conclusión, el objetivo del análisis del riesgo y del costo/beneficio es
asignar prioridades a las acciones y al gasto en seguridad, guiando sobre que debe
hacerse primero y que debe hacerse después.
Otro beneficio del análisis de riesgo es que permite justificar, ante los
directivos, la necesidad de recursos adicionales para la seguridad. Muchos
administradores y directores no poseen conocimientos técnicos en computación, pero
entienden sobre riesgos y análisis de costo/beneficio. Si se puede demostrar que una
organización se enfrenta a un riesgo con un costo estimado “X” al año, incluyendo las
pérdidas y los costos de recuperación, se podría convencer a la administración de que
asigne dinero para aumentar el personal y los recursos.

Sistema de Gestión de la Seguridad de la Información (SGSI)

López, A. (2008), en el “Portal de la ISO en español”, da una aproximación de

lo que es un SGSI, exponiendo:

Un SGSI consiste en la planificación, ejecución, verificación y mejora

continua de un conjunto de controles y medidas, tanto técnicas como
organizativas, que permitirán reducir el riesgo de sufrir incidentes de
seguridad, dotando a la organización de un esquema de gestión sobre el
cual desarrollar un Plan Director de Seguridad de la Información.

La implantación de un SGSI implica que la organización ha estudiado los

riesgos a los que está sometida toda su información, ha evaluado el nivel de riesgo
que asume, ha implantado controles (no sólo tecnológicos, sino también
organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las
políticas y procedimientos relacionados y ha entrado en un proceso continuo de
revisión y mejora de todo el sistema. El SGSI se desarrolla en un esquema de mejora
continua, basado en el modelo del Ciclo de Deming ó PDCA - Plan, Do, Check, Act
o Planear, Hacer, Chequear, Actuar -, que permite establecer un modelo de

27
indicadores y métricas comparables en el tiempo. Este esquema es el propuesto por la
norma ISO/IEC 27001:2005, de donde se extrae:
1. Fase PLAN, evaluación de amenazas, riesgos e impactos.
2. Fase DO, selección e implementación de controles que reduzcan el riesgo
a un nivel considerado como aceptable.
3. Fases CHECK y ACT, para cerrar y reiniciar el ciclo de vida, con la
recolección de evidencias y readaptación de controles, según los nuevos
niveles requeridos.

Así pues, un SGSI consta de un proceso cíclico que permite la mejor adaptación
de la seguridad al cambio continuo que se produce en la empresa y su entorno. En la
figura 2, se observan las fases del modelo PDCA.

Figura 2. Fases del modelo PDCA. Fuente: ISO27000.es (2008).

28
 Normalmente, el Establecimiento de un SGSI va precedido de un diagnóstico
de la situación actual de la Seguridad de la Información, con el propósito de detectar
cual es la situación de cumplimiento frente a la norma seleccionada y establecer un
análisis comparativo con los controles que se encuentran efectivamente implantados
en la organización.
En el proyecto ENTERSEC acotan que: “Un SGSI ofrece un enfoque
metodológico para administrar la información sensible, con el fin de protegerla y su
ámbito de aplicación incluye a los empleados, los procesos y los sistemas
informáticos”. Así pues, la gestión debe realizarse mediante un proceso sistemático,
documentado y conocido por toda la organización. Por analogía con la norma ISO
9000, la ISO 27001 podría considerarse como el sistema de calidad para la Seguridad
de la Información.
El propósito de un SGSI no es garantizar la seguridad - que nunca podrá ser
absoluta - sino garantizar que los riesgos en Seguridad de Información son conocidos,
asumidos, gestionados y minimizados, de una forma documentada, sistemática,
estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan
en la organización, los riesgos, el entorno y las tecnologías.
La protección de la información se logra implementando un conjunto adecuado
de salvaguardas o controles, mediante software, hardware y definición de
procedimientos a seguir. Cubre aspectos organizativos, lógicos, físicos, legales, así
como sistemas de control de accesos a áreas restringidas de la empresa.
Un SGSI es independiente de plataformas tecnológicas y de mecanismos
concretos, incluye un fuerte contenido documental, aporta una guía eficaz para
minimizar los riesgos, asegura la continuidad adecuada de las actividades de negocio,
hasta en los casos más extremos, adaptándose a los cambios continuos que se
producen en la empresa y en su entorno; y aunque nunca se logre la seguridad total,
se aproximará a ella mediante una mejora continua. El SGSI le garantiza a la empresa
que los riesgos que afectan su información son conocidos y gestionados. No se debe
olvidar, por tanto, que no hay seguridad total sino seguridad gestionada.

29
Beneficios de implantar un SGSI

En Kwell (2008) indican que: “Un SGSI asegura que una organización es
dirigida de un modo eficiente y eficaz. Formaliza y sistematiza la gestión en
procedimientos escritos, instrucciones, formularios y registros que aseguran la
eficiencia de la organización y su mejora continua”.
Entre los beneficios que se pueden obtener de la implementación de un SGSI
basado en las normas internacionales se encuentran: (a) Mejorar la gestión de la
seguridad sobre una base continua, ya que la organización dispone de mayores
defensas con formas de conocimientos, procedimientos y herramientas para evitar,
repeler o minimizar ataques. (b) Incrementar la confianza mutua con clientes,
proveedores y socios de negocios. (c) Establecer un marco de comparación con
indicadores y métricas que ayuden a gestionar la seguridad desde el punto de vista de
la directiva. (d) Disminuir las primas de seguro, mediante la implantación progresiva
de controles de seguridad que disminuyan el riesgo en las organizaciones. (e)
Posibilita la certificación, lo que representa un elemento distintivo frente a la
competencia.

Serie de Normas ISO 27000

Según Cirilli, F. (2007), la serie de normas ISO 27000 constituye el punto de

partida para planificar un sistema organizativo, que abarque todos los aspectos de la
Seguridad de la Información y que se integre en un contexto de TI desarrollado.
La serie de normas ISO 27000 ha sido específicamente reservada por la
“International Organization for Standardization” para la Seguridad de la Información.
Esto, está en línea con otras temáticas que incluyen la ISO 9000 (Gestión de la
Calidad) y la ISO 14000 (Gestión Ambiental). A continuación se explican,
brevemente, los estándares que conforman esta familia.

30
ISO 27000:2009

Es un estándar internacional que provee: una introducción sobre Sistemas de

Gestión de la Seguridad de la Información (SGSI); un resumen general sobre la
familia de estándares SGSI; una breve descripción del modelo PDCA; y los términos
y definiciones utilizados en la familia de estándares SGSI.

ISO 27001:2005

Publicada en octubre del 2005, en reemplazo de la antigua norma BS 7799-2

(Norma Británica) y establece las especificaciones para un Sistema de Gestión de la
Seguridad de la Información. La BS 7799, primeramente, fue publicada en la década
de los 90 como un Código de Prácticas. Luego, se publicó una segunda parte, de
forma emergente, para cubrir los sistemas de gestión. Esta parte es la que permite la
certificación, existiendo miles de certificados alrededor del mundo.
La ISO/IEC 27001:2005 cubre el contenido de la BS 7799-2 y armoniza con
otras normas. Se ha introducido un esquema por varias entidades de certificación para
convertir la certificación BS 7799 en certificación ISO 27001.

ISO 27002:2005 - Seguridad de la Información

La norma ISO/IEC 27002:2005 es el nuevo nombre para la anterior norma

ISO/IEC 17799:2005 y es, en si misma, un “Código de Buenas Prácticas” para la
Seguridad de la Información, estableciendo cientos de controles potenciales y
mecanismos de control, los cuales pueden ser implementados y posteriormente
chequeados por la norma ISO 27001. Originalmente, era un documento publicado por
el gobierno del Reino Unido y en el año 1995 se convirtió en una norma, cuando la
BSI la publicó como la BS 7799. En el año 2000 fue publicada nuevamente como BS
7799:2000. También en ese año fue publicada por la ISO.

31
IS0 27003 - Guía de implementación de SGSI

Se ha dicho que será una guía para la implantación del SGSI. Debe resolver
problemáticas como las responsabilidades de la gestión, las regulaciones
gubernamentales, la gestión de la disponibilidad, el control de acceso y el análisis de
riesgo.

ISO 27004 - Métrica y medición de la Seguridad de la Información

Se espera que sea el nombre de la norma que cubrirá lo relativo a la métrica y la

medición de la gestión de la Seguridad de la Información. El proyecto pretende crear
una norma para medir la efectividad de la implementación de la Seguridad de la
Información. Por la complejidad del tema, no se espera su publicación inmediata y
debe dar respuesta a preguntas tales como: ¿Qué medir? ¿Cómo medir? ¿Cuánto
medir?

ISO 27005 - Gestión de riesgos de los SGSI

Será el nombre de la norma que cubrirá lo relativo a la Gestión de Riesgos de la

Seguridad de la Información. Esta norma debe armonizar con la BS 7799-3
(Publicada en marzo del año 2006) y con la MICTS-2 (Actual ISO -13335).

ISO 27006 - Servicios de recuperación de desastres y continuidad de negocio

En la ISO comentan que esta norma será una guía para los servicios de
recuperación de desastres de las Tecnologías de la Información y las
Comunicaciones. Está enfocada en la facilidad de recuperación de desastres y en la
capacidad de servicios; destinada a proporcionar soporte y regreso total del Sistema
de Información y Comunicación de las organizaciones.

32
 Metodologías para la Estimación y Control de Riesgos

Las Metodologías de Análisis de Riesgos son las herramientas, en la Seguridad

de la Información, que utilizan los profesionales y las organizaciones para
implementar los procesos formales en la Gestión de los Riesgos. Actualmente, existen
muchos métodos, algunos gratuitos, otros muy costosos, que pueden proveer
herramientas, con uso dentro de contextos particulares. En algunos casos, las mismas
organizaciones deben crear su propia metodología, sin embargo, como métodos y
herramientas, tienen sus límites.
Estas Metodologías permiten medir el riesgo de la información a través de
variables, de acuerdo a escalas de medición. Algunos riesgos no pueden ser
mesurados directamente, por lo que elegir la metodología adecuada, junto con la
herramienta que provee, si es que la tiene, es uno de los desafíos más importantes con
los que tienen que lidiar los analistas de riesgos.
Una Metodología para el Análisis de Riesgo propone una serie de actividades y
herramientas que hacen posible la medición del riesgo en un contexto preciso. Según
Legar, M. (2006), un estudio de análisis necesita de varias cualidades, entre otras:
1. Credibilidad. El resultado del análisis de los datos recolectados debe
reflejar la experiencia de los participantes.
2. Autenticidad. La perspectiva de los participantes debe tomarse en cuenta
en los resultados, considerando las diferencias de opinión.
3. Criticidad. Para tomar en cuenta la experiencia de los involucrados.
4. Integridad. El análisis refleja una validación repetitiva y recursiva.
5. Claridad. En las decisiones metodológicas y sus interpretaciones, se
consideran las posiciones particulares de todos los involucrados.
6. Realismo, con una descripción clara de la realidad.
7. Creatividad. Se incorporan métodos, presentación y análisis de datos
tomando en cuenta el ingenio de los especialistas.
8. Exhaustividad. Las conclusiones del estudio abarcan la totalidad de las
preguntas formuladas al principio del análisis.

33
 9. Congruencia. Los procesos y los resultados son coherentes, tratando sólo
la situación estudiada.
10. Sensibilidad. El estudio se hace considerando la naturaleza humana y el
contexto sociocultural de la organización.

En conclusión, la selección de la metodología supone una investigación, que

tomando los parámetros adecuados, servirá de guía en la elección de la herramienta
más favorable.
Algunas de las Metodologías disponibles para el Análisis y Gestión de Riesgos
son: CRAMM, EBIOS, MAGERIT, MEHARI y OCTAVE. A continuación, se
presenta una breve descripción de las metodologías mencionadas, la cual se tomó de
las comparaciones metodológicas provistas por la agencia “ENISA”.

CRAMM

Es un método para el Análisis de Riesgos, desarrollado por la organización

Británica CCTA - Central Communication and Telecommunication Agency -.
Originalmente, estaba basado en las Mejores Prácticas de las organizaciones
gubernamentales británicas. Difícil de implementar sin la ayuda de su herramienta. Es
utilizado en muchos países y es apropiado para grandes organizaciones, tales como
gobiernos e industrias. Sus características son:
1. Compatibilidad con las normas ISO 17799 y 27001.
2. Fases metodológicas soportadas: identificación de riesgos, análisis de
riesgos, evaluación de riesgos, estimación de riesgos, tratamiento de
riesgos.
3. Herramienta de apoyo: CRAMM.
4. Sitio web oficial: http://www.cramm.com.

34
EBIOS

Es un conjunto de guías, dedicadas a la Gestión del Riesgo en los Sistemas de

Información. Fue desarrollado por el gobierno francés y provee las Mejores Prácticas,
así como también, documentos de aplicación para el usuario final. Es ampliamente
utilizado, tanto en el sector público como en el privado. Proporciona un manejo de
riesgo de muy alto nivel. Permite tener una visión global y coherente, apoyando la
alta gerencia. Entre sus características están:
1. Compatibilidad con las normas ISO 27001, 15408, 17799, 13335 y 21827.
2. Fases metodológicas soportadas: identificación de riesgos, análisis de
riesgos, evaluación de riesgos, estimación de riesgos, tratamiento de
riesgos, aceptación de riesgos, comunicación de riesgos.
3. Herramienta de apoyo: EBIOS.
4. Sitio web oficial: http://www.ssi.gouv.fr.

MAGERIT

Es una Metodología abierta para el Análisis y la Gestión del Riesgo,

desarrollada por el Ministerio de Administración Pública de España. Ofrece un guía y
una plantilla de trabajo para la administración pública. Debido a su naturaleza abierta,
también, es muy utilizada en otros tipos de organizaciones. Entre sus objetivos están:
asignar responsabilidades para los Sistemas de Información, evaluando y tratando el
riesgo; ofrecer un método sistemático para el análisis de esos riesgos; ayudar en la
descripción y planeación apropiada para mantener esos riesgos bajo control; e
indirectamente, preparar a la organización para la evaluación, auditoría, certificación
o acreditación, si fuese necesario. Se caracteriza por:
1. Compatibilidad con las normas ISO 27001, 15408, 17799 y 13335.
2. Fases metodológicas soportadas: identificación de riesgos, análisis de
riesgos, evaluación de riesgos, estimación de riesgos, tratamiento de
riesgos, aceptación de riesgos, comunicación de riesgos.

35
 3. Herramienta de apoyo: Pilar (restringida)
4. Sitio web oficial: http://www.csi.map.es/csi/pg5m20.htm.

MEHARI

Desarrollada por el Club Francés de la Seguridad de la Información. Provee un

modelo de Gestión de Riesgos con componentes y procesos modulares. Incluye
clasificación de activos y descubrimiento de vulnerabilidades a través de la auditoría.
Ideal para gobiernos y grandes empresas. Fundamenta su análisis en fórmulas y
parámetros que permiten una selección óptima de las acciones correctivas, dando
cumplimiento a las medidas adicionales de la norma ISO 27002 (17799:2005).
Presenta las siguientes características:
1. Compatibilidad con las normas ISO 13335, 27001 y 27002.
2. Fases metodológicas soportadas: identificación de riesgos, análisis de
riesgos, evaluación de riesgos, estimación de riesgos, tratamiento de
riesgos, aceptación de riesgos, comunicación de riesgos.
3. Herramienta de apoyo: RISICARE.
4. Sitio web oficial: http://www.clusif.asso.fr.

OCTAVE

Desarrollada por el Instituto de Ingeniería de Software de la universidad

Carnegie Mellon. Se enfoca en la estimación estratégica y en la planeación técnica de
la seguridad basada en el riesgo. Es autodirigida, donde la misma organización se
responsabiliza por la configuración de las estrategias de seguridad. Diseñada para
organizaciones de menos de 100 personas y se caracteriza por:
1. Fases metodológicas que soporta (criterios únicamente): identificación de
riesgos, análisis de riesgos, evaluación de riesgos, estimación de riesgos,
tratamiento de riesgos, aceptación de riesgos, comunicación de riesgos.

36
 2. Herramienta de apoyo: Octave Automated Tool.
3. Sitio web oficial: http://www.cert.org/octave/osig.html.

Otras Herramientas para el Análisis y Gestión de Riesgos.

En la actualidad existen herramientas AGRs que se construyeron directamente

sobre la norma ISO/IEC 27001:2005 sin contar con una metodología propietaria.
Entre estas herramientas está la provista por la organización sin fines de lucro
ISO27001 Security. En su web site, además de explicar con detalle la norma,
proponen una herramienta AGR gratuita, que puede ser adaptada y modificada para
cualquier organización. Esta herramienta está compuesta por un conjunto de trabajos
realizados por especialistas en la materia y propone una hoja de cálculo, con la
finalidad de facilitar las labores de Análisis y Gestión de Riesgos.

Centro de Tecnología de Información y Comunicación del DCyT - UCLA

El CTIC, tal como es descrito en su sitio web (www.ucla.edu.ve/dciencia/cc/ ),

es una unidad administrativa adscrita a la dirección del Decanato de Ciencias y
Tecnología de la UCLA que ofrece servicio y apoyo integral en tecnologías de la
información a todo el decanato, en las funciones de docencia, investigación,
extensión y gestión administrativa.
El CTIC desde sus inicios hasta el presente, ha mantenido un crecimiento
constante y sostenido en relación a la cantidad de equipos que tiene, los usuarios a los
que presta servicio y las herramientas que maneja. Cuenta con instalaciones modernas
y con tecnología de punta, siendo reconocido por la calidad en sus servicios y está
organizado funcionalmente por áreas. En la siguiente figura se puede observar su
distribución funcional:

37
 JEFATURA DEL
CTIC

Área Área de Área de Área de Área de

Adminis- Gestión de Gestión de Desarrollo Soporte
trativa Laboratorio Servidores Técnico
s

Figura 3. Organigrama del CTIC. Fuente: Autor (2009).

A continuación se presenta una breve descripción de cada área:

Área Administrativa: Tiene como finalidad la gestión y coordinación de todas
las actividades y servicios que presta el centro. Entre sus funciones se encuentran: (a)
Emisión y seguimiento de memorando. (b) Control de ingreso y egreso monetario. (c)
Gestión de compras. (d) Atención al público en general. (e) Difusión de información
general del CTIC dentro del decanato. (f) Gestión de las ayudantías. (g) Asignación y
reserva de los laboratorios. (h) Provisión y control de material de oficina para todas
las áreas del centro.
El personal que labora en esta área está conformado por: la persona encargada
de la jefatura del centro, una asistente administrativa y una secretaria.
Área de Desarrollo: Tiene como función el análisis, diseño, programación,
implantación, mantenimiento y soporte a usuario de programas o sistemas
desarrollados por el centro, que sirvan de apoyo a las actividades del CTIC. También,
es la encargada de la elaboración de los manuales de usuario de los sistemas
(programas) desarrollados por el centro. Cuenta con un Analista Programador.
Área de Soporte Técnico: Su función principal es la atención de las
necesidades de los usuarios registradas a través del “Help Desk”. Tiene como tarea la
instalación, configuración y mantenimiento del hardware y software del decanato,
excluyendo a control de estudio, postgrado y biblioteca que poseen su propio personal
de soporte. También, sirve de apoyo a la Dirección de Telecomunicaciones en lo

38
referente al diagnóstico de fallas en los servicios de red y comunicación. Las
funciones de esta área son llevadas a cabo por tres (3) Técnicos de Soporte y un
grupo de ayudantes (estudiantes del decanato).
Área de Gestión de Laboratorios: Encargada de hacer cumplir las normas de
uso de los laboratorios y supervisar a los ayudantes que laboran en ellos. Conformado
por dos (2) Asistentes de Laboratorio.
Basados en una clasificación definida por Gorgone J. - IS 2002 Modelo
Curricular y Guía -, los laboratorios se organizan en tres tipos de acuerdo a los
servicios que prestan, a saber: (a) Abiertos: Aquellos en donde los estudiantes
desarrollan actividades libres, académicas o no, pudiendo contar con la presencia de
un preparador o ayudante. (b) Cerrados: Aquellos en donde las actividades de los
estudiantes se desarrollan de forma supervisada y guiada por un profesor o por un
preparador designado. (c) Especializados: Aquellos que cuentan con tecnología
avanzada y dan soporte a equipos de proyectos y ambientes especiales de
computación, tal como el Laboratorio de Redes. En el cuadro 1, se especifican los
tipos, código y cantidad de equipos por laboratorio.
En los Laboratorios Abiertos se presta, además, el Servicio de Impresión.

Cuadro 1. Laboratorios del CTIC.

Tipo de Laboratorio Laboratorio Cantidad Equipos

E1 31
E2 31
Cerrados
01 40
02 36
03 21
04 28
Abiertos
05 24
06 29
Sistemas de Información 30
Especializados Redes de Computadoras 28
Matemática y Estadística 14
Total de equipos: 332

Fuente: CTIC (2009)

39
 Área de Gestión de Servidores: Cuenta con un Ingeniero de Planta que tiene
como función principal la instalación, configuración y mantenimiento de los
servidores que apoyan las actividades del centro. Entre otras, se pueden destacar: (a)
Mantenimiento de las cuentas de usuarios. (b) Control automático de las cuotas de
impresión de los estudiantes. (c) Gestión de base de datos. (d) Gestión de archivos.
(e) Monitoreo de las actividades de la red del centro. (f) Gestión de servicios de
comunicación, tales como: DHCP, DNS y Controlador de Dominio Primario.
En general, el CTIC brinda servicios informáticos relacionados con las
siguientes tecnologías: (a) Servidores de procesamiento centralizado (MicroVax,
Alpha, y Compaq Proliant ML 370). (b) Servidores de Comunicación. (c)
Computadores personales con procesadores Pentium IV y Core 2 Duo. (d) Impresoras
Láser. (e) Impresoras de Inyección de Tinta. (f) Software licenciado y libre. (g) Redes
de computadoras basadas en el estándar IEEE 802.3x y 802.11. (h) Intranet e Internet.
(i) Multimedia
En relación a la seguridad, el CTIC ha establecido las siguientes normas
escritas para el buen funcionamiento del mismo: (a) De acceso al Centro de
Tecnología de Información y Comunicación. (b) De uso de los laboratorios. (c) De
uso del servicio de impresión y quemado. (d) Para las ayudantías.

Operacionalización de las Variables

Hempel, C. (1952), explica la operacionalización de las variables como sigue:

“Consiste en definir las operaciones que permiten medir un concepto o los
indicadores observables, por medio de los cuales se manifiesta ese concepto”. Por su
parte, Leedy, P. (1993), enfatiza diciendo: “Tiene que haber tres cosas: consenso,
medición y precisión. Sólo se puede manejar lo que se puede medir y sólo se puede
medir lo que se define operativamente”. Por ello, Martínez, R. y otros (2006)
argumentan:

40
 El proceso de investigación científica relaciona conceptos y variables.
Los conceptos son abstracciones de fenómenos empíricos que deben
convertirse en variables. Las propiedades del objeto de estudio son
formuladas en términos abstractos, en conceptos, lo cual, con frecuencia,
impide que en la práctica puedan ser observadas y medidas directamente.
Mediante el proceso de operacionalización de las variables, las
propiedades del objeto de estudio que no son cuantificables directamente,
son llevadas a expresiones más concretas y directamente medibles.

En estos casos se propone la derivación de la variable en: (a) Dimensiones. Son

las diversas facetas en que puede ser examinada la característica o propiedad del
objeto de estudio. (b) Indicadores. Son aquellas cualidades o propiedades del objeto
que pueden ser directamente observadas y cuantificadas en la práctica.
Para esta investigación, el objeto de estudio es “la Seguridad de la Información”
- en el CTIC -, la cual puede ser calificada como una variable compleja, por lo que es
necesario dimensionarla para poder llegar a su medición. Al respecto, Besarón, P. y
otro (2006), exponen:

Cuando nos encontramos con variables complejas, donde el pasaje de la

definición conceptual a su operacionalización requiere de instancias
intermedias, se puede hacer una distinción entre variables, dimensiones e
indicadores. A modo de síntesis, puede afirmarse que el pasaje de la
dimensión al indicador hace un recorrido de lo general a lo particular, del
plano de lo teórico al plano de lo empíricamente contrastable. Las
dimensiones vendrían a ser subvariables o variables con un nivel más
cercano al indicador.

Las dimensiones sobre las que se analizó el objeto de estudio fue un

subconjunto de las cláusulas de seguridad propuestas en la norma ISO/IEC
27002:2005, de las cuales se tomaron: (a) Política de seguridad. (b) Aspectos
Organizativos. (c) Gestión de Activos. (d) Seguridad ligada a los recursos humanos.
(e) Seguridad Física y Ambiental. (f) Control de Acceso. (g) Gestión de Incidentes.
Estas dimensiones, junto con el objeto de estudio, conforman las variables de estudio,
que por ser un modelo de tipo causal en el que las dimensiones definen y miden el

41
grado de satisfacción de la Seguridad de la Información, se deben clasificar como
dependiente e independientes, a saber:

Variable Dependiente:
1. Seguridad de la Información

Variables Independientes:
1. Gestión de Activos.
2. Seguridad Física y Ambiental.
3. Control de Acceso.
4. Gestión de Incidentes.
5. Política de seguridad.
6. Aspectos Organizativos.
7. Seguridad ligada a los recursos humanos.

A su vez, cada dimensión (variable independiente) tiene uno o más indicadores,

los cuales fueron seleccionados de los controles de la norma. Específicamente, se
seleccionaron cuarenta y tres (43), donde cada indicador (control) se midió a través
de uno o más ítems (de las encuestas). Para la selección de este subconjunto de
controles de la norma privó, los que a juicio del autor, eran más relevantes para la
seguridad actual del CTIC y que estaban directamente relacionados con los problemas
detectados en la investigación preliminar.
A continuación se presenta, en detalle, todo el sistema de variables construido:

42
Cuadro 2. Sistema de Variables.

INSTRU
MENTO
DIMENSIÓN INDICADOR
VARIABLE ÍTEMS
(Cláusula) (Control de seguridad)

Inventario de activos 1
Gestión de Propiedad de los activos 2
Activos Uso aceptable de los activos 3
Directrices de clasificación 4
Controles físicos de entrada 5
Seguridad de oficinas e instalaciones 6
Protección contra amenazas externas 7y8
Seguridad Trabajo en áreas seguras 9 y 10
física y
ambiental Emplazamiento y protección de equipos 11
Instalaciones de suministro 12
Seguridad del cableado 13

CUESTIONARIOS Y ENTREVISTA
Mantenimiento de los equipos 14
Identificación y autenticación de usuarios 15
Sistema de gestión de contraseñas 16
Seguridad de
la Políticas de control de acceso 19
Información
Registro de usuario 20
Gestión de privilegios 21
Gestión de contraseñas de usuario 22
Política de uso de los servicios en red 23
Identificación de equipos en las redes 24
Control de
acceso Diagnóstico remoto y protección de puertos. 25
Segregación de las redes 26
Control de la conexión a la red 27
Control de encaminamiento de red 28
Procedimientos seguros de inicio de sesión 29
Uso de los recursos del sistema 30
Desconexión automática de sesión 31
Limitación del tiempo de conexión 32
Aislamiento de sistemas sensibles 33

Fuente: Autor (2009).

43
Cuadro 2. Sistema de Variables. (Continuación)

INSTRU
MENTO
DIMENSIÓN INDICADOR
VARIABLE ÍTEMS
(Cláusula) (Control de seguridad)

Notificación de los eventos de la Seguridad de

17
la Información
Gestión de
incidentes Responsabilidades y procedimientos 18
Aprendizaje de los incidentes de Seguridad de
34
la Información
Documento de política de Seguridad de la
35
Política de Información

CUESTIONARIOS Y ENTREVISTA
Seguridad Revisión de política de Seguridad de la
36
Información
Compromiso de la dirección con la Seguridad
37
de la Información
Seguridad de
la Coordinación de la Seguridad de la
38
Información Información
Aspectos
Organizativos Acuerdos de confidencialidad 39
Revisión independiente de la Seguridad de la
40
Información
Tratamiento de la seguridad en la relación con
41
los clientes
Funciones y responsabilidades 42
Seguridad Investigación de antecedentes 43
ligada a los
recursos Términos y condiciones de contratación 44
humanos Concienciación, formación y capacitación en
45
la Seguridad de la Información

Fuente: Autor (2009).

44
 CAPÍTULO III

MARCO METODOLÓGICO

En esta etapa de la investigación se describe la manera como se realizó el

trabajo, detallándose cada uno de los aspectos relacionados con la metodología
aplicada. Para ello, se siguió un proceso ordenado, por etapas, que permitió el logro
de los objetivos planteados. A continuación se detallan cada una de estas etapas.

Naturaleza de la Investigación

El trabajo “Sistema de Gestión para la Seguridad de la Información. Caso:

Centro de Tecnología de Información y Comunicación del DCyT de la UCLA” está
enmarcado dentro de la modalidad de estudio de proyecto factible, apoyado en la
investigación monográfica documental y de campo de acuerdo al “Manual para la
Elaboración de Trabajos Conducentes a Grado Académico de Especialización,
Maestría y Doctorado” aprobado por el Consejo Universitario de la UCLA en su
sesión Nº 1353, el cual indica: “Se entenderá por estudios de proyectos una
proposición sustentada en un modelo viable para resolver un problema práctico
planteado, tendente a satisfacer necesidades institucionales o sociales...”. Es
monográfica documental porque se realizaron consultas y lecturas de trabajos de
grados, tesis, libros, artículos y revistas que se consideraron importantes para el
desarrollo de la investigación; y es de campo porque se levantó información, se
realizaron las encuestas y se diseñó el SGSI directamente en el sitio donde se
encontraba el objeto de estudio.

45
 Fases del Estudio

El proceso de investigación en este trabajo de grado sigue las tres fases

fundamentales para la formulación del informe final de proyecto factible:
Diagnóstico, Estudio de Factibilidad y Propuesta del Estudio, según el manual
aprobado por el Consejo Universitario de la UCLA en su sesión ordinaria Nº 1353. A
continuación se especifican las dos primeras fases y en un capítulo aparte se presenta
la última fase en vista de su relevancia y extensión.

Fase I. Diagnóstico

Consistió en realizar un análisis del estado actual de la Seguridad de la

Información del CTIC tomando como base la información proporcionada por su
personal, con el fin de determinar las deficiencias en la gestión del Plan de Seguridad
actual.
En las metodologías SGSI, diagnosticar la Seguridad de la Información es
equivalente a evaluar el estado de los controles de seguridad implementados, por lo
que para esta investigación se utilizó una técnica propuesta por Villafranca, D. y otros
(2005), que permite determinar el “Nivel de Madurez” de un SGSI en base a dos
parámetros: (a) El “Peso de Contribución” de las cláusulas de la norma ISO/IEC
17799:2005 en la seguridad total del sistema; y (b) El “Nivel de Cumplimiento” de
las cláusulas desplegadas en la organización.
Es importante resaltar que en este estudio fue necesario recalcular el “Peso de
Contribución”, puesto que se utilizó una norma diferente – la ISO/IEC 27002:2005 –
y un subconjunto de sus cláusulas y controles.
Posteriormente, se relaciona el “Nivel de Madurez” calculado con un modelo
diseñado por López, F y otros (2006), lo que permitió extender la interpretación del
resultado obtenido.
Todo esto con el fin de justificar el “Establecimiento de un Sistema de Gestión
para la Seguridad de la Información, en el marco de la norma ISO/IEC 27001:2005,

46
que permita mejorar la gestión de la Seguridad, garantizando el cumplimiento de las
políticas y objetivos generales del CTIC.

Población y Muestra

Balestrini, M. (1998) indica que: “Una población o universo puede referirse a

un conjunto de elementos de los cuales se pretenden indagar y conocer sus
características y para el cual serán válidas las conclusiones obtenidas en la
investigación…”.
En este caso de estudio, el universo está constituido por los diez (10) empleados
del personal administrativo que laboran en el CTIC. En el cuadro 3 se detalla el
personal que labora en el CTIC y que fungió como población de estudio.

Cuadro 3. Población de Estudio

Área # de Personas
Jefatura 1
Administrativa 2
Desarrollo 1
Soporte Técnico 3
Gestión de Laboratorios 2
Gestión de Servidores 1
TOTAL 10
Fuente: CTIC (2009).

De acuerdo a lo expuesto por Ary, W. (1996): “...si la población posee

pequeñas dimensiones debe ser considerada en su totalidad, para así reducir el error
en la muestra”. Por lo tanto, en este caso de estudio, la muestra estuvo dada por la
totalidad de la población.

47
Procedimiento Diagnóstico

A continuación se listan los pasos que se siguieron para llevar a cabo el Estudio
Diagnóstico de la Seguridad de la Información del CTIC:
1. Elaboración de los Instrumentos de Recolección de Datos.
2. Validación de los Instrumentos.
3. Determinación de la Confiabilidad de los Instrumentos.
4. Descripción de la técnica para el Análisis de los datos recabados.
5. Resultados Parciales del Diagnóstico por Cláusula de Seguridad.
6. Resultado Global del Diagnóstico para el SGSI actual del CTIC
7. Conclusiones del Diagnóstico.
8. Recomendaciones del Diagnóstico.

Elaboración de los Instrumentos de Recolección de Datos

Los instrumentos de recolección de datos son las herramientas que se utilizan

para registrar las observaciones y obtener información sobre el objeto de estudio.
Como instrumentos se utilizan: la observación directa, la encuesta en sus dos
modalidades - entrevista y cuestionario -, el análisis documental y el análisis de
contenido, tal como lo sugieren en UNE (2008). En este caso particular se optó por la
observación directa y las encuestas.
Para la elaboración de las encuestas se tomó en cuenta lo expuesto por
Castañeda, J. (1996), de donde se extrae: (a) Determinar los reactivos (ítems) de
acuerdo a lo que se necesita observar y establecer su orden de localización. (b) Cuidar
la formulación de los reactivos, ya que una formulación incorrecta puede dar lugar a
interpretaciones diferentes por parte del entrevistado, a las que el observador desea.
(c) La redacción y el vocabulario deben estar acorde a la persona observada, tomando
en cuenta su edad y nivel cultural. (d) Cada reactivo debe contener una sola pregunta.
(e) En la redacción de la pregunta, no debe sugerirse la respuesta.

48
 Los ítems o reactivos en las encuestas diseñadas valoran la eficacia de los
controles de seguridad, los cuales permiten determinar el Nivel de Cumplimiento de
cada cláusula de seguridad – Variables Independientes.
Para valorar los ítems se utiliza una escala sumativa tipo “Likert”, con las
siguientes respuestas posibles: TA = Totalmente de Acuerdo; A = De Acuerdo; N =
Neutral; D = En Desacuerdo; y TD = Totalmente en Desacuerdo. En esta escala, una
respuesta igual a “TA” implica que, a juicio del encuestado, el control de seguridad
que se evalúa se cumple en su totalidad y una respuesta “TD” indica que el control no
se cumple en lo absoluto.
Para este estudio, los instrumentos confeccionados fueron:
1. Cuestionario 01: aplicado a todo el personal del CTIC, para un total de 10
encuestados. En el anexo C se presentan un modelo de este cuestionario.
2. Cuestionario 02: aplicado al personal considerado como técnico o
especializado, con un total de encuestados igual a 6. Ver anexo D.
3. Entrevista: aplicada a la persona encargada de la Jefatura del CTIC. Ver
anexo E. Para la entrevista, se mantuvo el formato utilizado en los
cuestionarios, con el objeto de mantener la uniformidad en la recopilación
de los datos, lo que facilitó su análisis e interpretación.
4. Observación Directa: en la que el investigador se limitó a percibir el
comportamiento de los elementos que componen el objeto de estudio, con
el fin de cotejar y validar la información colectada a través de los otros
instrumentos aplicados en la investigación.

Validación de los instrumentos

La validez viene dada por la forma en la cual el instrumento seleccionado mide

lo que realmente se requiere. Según Balestrini, M. (1998) la validez es: “un concepto
del cual pueden tenerse diferentes tipos de evidencias relacionadas con el contenido,
con el criterio y con el constructo”. En este sentido, la validez de contenido se refiere
al grado en que un instrumento refleja un dominio específico de contenido de lo que

49
se mide. Por su parte, la validez de constructo se refiere al grado en que una medición
se relaciona consistentemente con otras, de acuerdo con las hipótesis derivadas
teóricamente sobre esa variable; siendo un constructo una variable medida dentro de
una teoría o esquema teórico.
Según Díaz, H. (2006), una de las maneras de garantizar la validez de un
instrumento es a través del juicio de expertos que comprueben la consistencia de ese
instrumento; por lo que, para validar los instrumentos utilizados en este estudio se
utilizó la opinión de profesores expertos con amplios conocimientos en el tema de
seguridad. A saber:
1. Ing. Msc. Jean Paul Angeli – Director de Telecomunicaciones de la
UCLA.
2. Lic. Msc. Manuel Mujica – Coordinador Nacional de Tecnología de
Información en la UNEXPO.
3. Dr. Arsenio Pérez – Director del Sistema de Educación a Distancia de la
UCLA (SEDUCLA).

Para realizar esta validación, se les entregó un formato que permitió registrar
sus recomendaciones y configurar los instrumentos de acuerdo a sus sugerencias. En
el anexo F se presenta el formato provisto para la validación.

Determinación de la Confiabilidad de los Instrumentos

Para Díaz, H. (2006): “la confiabilidad viene dada en la medida en que un

instrumento arroje siempre los mismos resultados, siendo aplicado en repetidas
oportunidades a los mismos sujetos”; acotando Muñiz, J. (1996): el procedimiento
más utilizado para evaluar la consistencia interna de un test es el coeficiente Alfa de
Cronbach, con rango entre “menos uno” (-1) y “más uno” (+1), determinado por la
siguiente fórmula:

50
 En donde:
K = Al número de ítems (preguntas o enunciados).
σ ij = A la covarianza estimada entre los ítems “i” y “j”

Indican Hernández, R. y otros (2003) que los criterios de confiabilidad interna

de un instrumento, cuando se utiliza el coeficiente Alpha de Cronbach, son:

Cuadro 4. Criterio de Confiabilidad del Alpha de Cronbach.

Rango Criterio
De -1 a 0 No Confiable
De 0.01 a 0.49 Confiabilidad Baja
De 0.50 a 0.75 Confiabilidad Moderada
De 0.76 a 0.89 Confiabilidad Fuerte
De 0.90 a 1.00 Confiabilidad Alta

Fuente: Hernández, R. y otros (2003).

Una vez aplicados los instrumentos a la muestra piloto, se procedió a evaluarlos

en relación al coeficiente Alpha de Cronbach, para lo que se utilizó el programa
NCSS, versión 07.1.10 (URL: www.ncss.com), el cual arrojó los siguientes resultados:
1. Para el cuestionario Nº 01:

α = 0,815277
2. Para el cuestionario Nº 02:

α = 0,820583

51
 A la encuesta utilizada para la entrevista dirigida no se le calculó el coeficiente
de confiabilidad, ya que se aplicó a una sola persona.
De lo anterior, se puede afirmar que los instrumentos utilizados tienen una
confiabilidad interna con criterio “Fuertemente Confiable”, por lo que se procedió a
la aplicación de los cuestionarios a toda la muestra, para luego proseguir con el
siguiente paso de la investigación.
Para detallar los resultados arrojados por el test de confiabilidad, ver los anexos
G y H.

Descripción de la técnica para el Análisis de los datos recabados

En esta etapa del proceso de investigación se racionalizaron los datos

colectados con el propósito de explicar e interpretar su comportamiento. El análisis se
expresa de manera clara y simple utilizando lógica, tanto inductiva como deductiva.
Según Ávila, H. (2006) la herramienta utilizada para el análisis de datos es la
estadística, dentro de la cual se encuentra la estadística descriptiva, que se entiende
como el conjunto de métodos para procesar un grupo de datos en términos
cuantitativos, de tal forma que se les dé un significado; permitiendo organizarlos y
presentarlos de manera que describan en forma precisa las variables analizadas,
facilitando su lectura e interpretación. Agrega el autor que: “entre los sistemas para
ordenar los datos se encuentran la distribución de frecuencias (expresada en tablas o
cuadros) y la representación gráfica.”.
En este estudio se utilizó, como se mencionó antes, una técnica propuesta por
Villafranca, D. y otros (2005), que permite medir el Nivel de Cumplimiento de las
cláusulas de seguridad en base al grado de eficacia de los controles desplegados por
una empresa, con el objeto de determinar el “Nivel de Madurez” del SGSI. Para
calcular el Nivel de Madurez de un SGSI, estos autores proponen: (a) una escala para
el “Peso de Contribución” (PC) de cada cláusula en la seguridad total del sistema,
proporcional al número de controles que hay en cada una de ellas; y (b) el “Nivel de
Cumplimiento” (NC) de las cláusulas contempladas en el sistema de seguridad actual.

52
 Indican estos autores que cada cláusula de seguridad contribuye en la seguridad
total del Sistema de Gestión, de acuerdo al número de controles que contiene; por lo
que utilizaron este concepto para proponer una escala de contribución de cada
cláusula de seguridad. Por ejemplo, la antigua norma ISO/IEC 17799:2005 proponía
127 controles agrupados en 10 cláusulas de seguridad. Como la cláusula “Políticas de
Seguridad” contiene 2 controles, la contribución (en porcentaje) de esta cláusula en la
seguridad total se calcula dividiendo “el número de controles propuestos” (o sea 2)
entre “el total de controles de la norma” (127) multiplicado por 100. Así pues, el
porcentaje de contribución de la cláusula “Políticas de Seguridad” es del 1.57%. En el
cuadro 5 se presenta el Peso de Contribución para cada cláusula de seguridad, según
lo sugerido por estos autores.

Cuadro 5. Cláusulas de Seguridad de la ISO 17799 y su Peso de Contribución

Peso
Cláusulas de Seguridad para la Norma
%
1º Política de Seguridad 1.57
2º Estructura Organizativa 7.87
3º Clasificación y Control de Activos 2.36
4º Seguridad en el Personal 7.87
5º Seguridad Física y del Entorno 10.24
6º Gestión de Comunicaciones y Operaciones 18.90
7º Control de Acceso 24.42
8º Desarrollo y Mantenimiento de Sistemas 14.17
9º Gestión de Continuidad del Negocio 3.94
10º Satisfacción del Marco Legal y Contractual 8.66
TOTAL 100 %
Fuente: Villafranca, D. y otros (2005).

El Nivel de Madurez del SGSI se obtiene, según estos autores, multiplicando el

Nivel de Cumplimiento (NC) de cada Cláusula por su Peso de Contribución (PC); que
luego de sumarlos arrojaría el valor buscado. Matemáticamente:

53
 Nivel de Madurez = ∑ NCi * PCi ; con i entre 1 y N.

i representa a cada una de las cláusulas de seguridad de la norma.

Para este caso de estudio, el investigador determinó el Peso de Contribución

(PC) de cada cláusula en la seguridad total del sistema en base a los controles que se
seleccionaron por cada una de ellas. De las once cláusulas de la norma se
seleccionaron y midieron siete, en base a cuarenta y tres controles. En el cuadro 6 se
presenta el PC para cada cláusula, de acuerdo a los controles que se utilizaron para
evaluarla, siguiendo lo propuesto por Villafranca, D. y otros (2005).

Cuadro 6. Cláusulas de seguridad seleccionadas y su Peso de Contribución.

Nro. de Peso de
Cláusulas de Seguridad
controles Contribución
evaluadas
utilizados %
1º Política de Seguridad 2 4.65
2º Aspectos Organizativos 5 11.63
3º Gestión de Activos 4 9.30
4º Seguridad del Recurso Humano 4 9.30
5º Seguridad Física y Ambiental 8 18.60
6º Control de Acceso 17 39.54
7º Gestión de Incidentes 3 6.98
TOTAL 43 100 %
Fuente: Autor (2009).

Ahora bien, para determinar en Nivel de Cumplimiento (NC) de cada Cláusula

de Seguridad a evaluar, se procedió a asignarle un puntaje a cada posible respuesta,
tal como se sugiere en el cuadro 7. Esto con el fin de que se pudieran procesar los
datos recolectados en términos cuantitativos, para así organizarlos y presentarlos de
manera que describieran al SGSI en forma precisa.

54
 Cuadro 7. Respuestas posibles y su Puntaje Neto.

Puntaje
Respuestas Posibles
Neto
Totalmente de Acuerdo (TA) +2
De Acuerdo (A) +1
Neutral (N) 0
En Desacuerdo (D) -1
Totalmente en Desacuerdo (TD) -2

Fuente: Autor (2009).

Con respecto a este punto, señala Guil, M (2006) que en una escala sumativa
tipo Likert el encuestado es quien le da una puntuación a cada ítem, normalmente de
1 a 5, en función de su posición frente a la afirmación sugerida por el ítem; y la
calificación final vendrá por la suma de los puntos de todas las respuestas para una
misma pregunta.
Por otro lado, como cada cláusula de seguridad se midió a través de varios
ítems (ver cuadro 2) y la frecuencia depende del número de encuestados y sus
respuestas, se procedió a realizar una consolidación de los resultados sumando las
frecuencias de cada posible respuesta “TA, A, N, D y TD” para los ítems que abordan
una misma cláusula. Este cálculo proporcionó la frecuencia - Fi - de cada posible
respuesta.
Definamos el Conteo Total - CT - como la sumatoria de las frecuencias Fi para
los ítems de una misma cláusula, con i representando a cada posible respuesta.
Sea PM el valor máximo posible que se obtendría si todas las respuestas fueran
“Totalmente de Acuerdo” (con un PN de +2) para cada uno de los ítems que abordan
una misma cláusula. El PM se puede calcular matemáticamente como:

PM = CT * (+2)

Sea Pm el valor mínimo posible que se obtendría si todas las respuestas fueran
“Totalmente en Desacuerdo” (con un PN de -2) para cada uno de los ítems que
abordan una misma cláusula. El Pm se puede calcular matemáticamente como:

55
 Pm = CT * (-2)

Por ejemplo, supongamos que una cláusula se evaluó a través de 4 ítems, los
cuales fueron respondidos por 10 encuestados. En este caso se obtendría: CT = 40;
PM = 80 y Pm = -80.
Para calcular el Puntaje Obtenido (PO) de cada cláusula evaluada se utilizó el
Peso Neto (PN) propuesto para la escala sumativa tipo Likert en el cuadro 7. El PO se
obtuvo sumando los resultados de multiplicar la Frecuencia Fi de cada posible
respuesta por su Peso Neto (PNi). Matemáticamente:

PO = ∑ Fi * PNi ; con i entre 1 y 5. i = {TA,A,N,D,TD}.

El Nivel de Cumplimiento (NC) de una cláusula queda determinado por la

relación de PO con Pm y PM. Esto es, el valor del NC dentro del rango (0..100) es
equivalente al de PO dentro del rango (Pm..PM). Así pues, para los valores de PO,
Pm y PM, el Nivel de Cumplimiento - NC - queda definido por la siguiente fórmula:

NC = (PO-Pm) / (PM-Pm) * 100

A continuación se presentan los resultados obtenidos de la aplicación de las

encuestas utilizando cuadros y gráficos; procediendo luego a determinar el Nivel de
Cumplimiento ó NC de las cláusulas seleccionadas, en base a los controles con las
que fueron medidas. Para ello se determinó la frecuencia consolidada Fi de cada tipo
de respuesta, calculando luego el PO, el Pm y el PM. Para los detalles de las
respuestas de cada ítem y su frecuencia, ver los anexos G, H e I.

56
Resultados Parciales del Diagnóstico por Cláusula de Seguridad

Cláusula 1: POLÍTICA DE SEGURIDAD.

Personas encuestadas: 1
Ítems que lo abordan: 35 y 36 (ver cuadro 2)
Conteo Total: 2 (2*1)

Cuadro 8. Cumplimento de la Política de Seguridad.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 0 0
De Acuerdo 0 0
Neutral 0 0
En Desacuerdo 0 0
Totalmente En Desacuerdo 2 -4
TOTAL 2 -4

Fuente: Autor (2009).

Los valores para Pm, PO y PM son:

Pm = -2*2 = -4
PO = -4
PM = +2*2 = +4

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (-4-(-4)) / (+4-(-4)) * 100 = 0 %

Gráficamente:

57
 0,00%

Cumplimiento
No Cumplimiento

100,00%

Gráfico 1. NC de la cláusula Política de Seguridad.

En base a las respuestas obtenidas, se puede inferir que, según la apreciación de

la persona encuestada, la “Política de Seguridad” tiene un Nivel de Cumplimiento
del 0.00 %.

Cláusula 2: ASPECTOS ORGANIZATIVOS.

Personas encuestadas: 1
Ítems que lo abordan: Del 37 al 41, para un total de 5 (ver cuadro 2)
Conteo Total: 5 (5*1)

Cuadro 9. Cumplimento de los Aspectos Organizativos.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 1 +2
De Acuerdo 1 +1
Neutral 0 0
En Desacuerdo 1 -1
Totalmente En Desacuerdo 2 -4
TOTAL 5 -2

Fuente: Autor (2009).

58
 Los valores para Pm, PO y PM son:
Pm = -2*5 = -10
PO = -2
PM = +2*5 = +10

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (-2-(-10)) / (+10-(-10)) * 100 = 40.00 %

Gráficamente:

40,00%
Cumplimiento
No Cumplimiento
60,00%

Gráfico 2. NC de la cláusula Aspectos Organizativos.

En base a las respuestas obtenidas, se puede inferir que, según la apreciación de

la persona encuestada, los “Aspectos Organizativos” tiene un NC del 40.00 %.

Cláusula 3: GESTIÓN DE ACTIVOS.

Personas encuestadas: 10
Ítems que lo abordan: Del 1 al 4, para un total de 4 (ver cuadro 2)
Conteo Total: 40 (4*10)

59
 Cuadro 10. Cumplimento de la Gestión de Activos.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 4 +8
De Acuerdo 8 +8
Neutral 7 0
En Desacuerdo 8 -8
Totalmente En Desacuerdo 13 -26
TOTAL 40 -14

Fuente: Autor (2009).

Los valores para Pm, PO y PM son:

Pm = -2*40 = -80
PO = -14
PM = +2*40 = +80

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (-14-(-80)) / (+80-(-80)) * 100 = 41.25 %

Gráficamente:

41,25%
Cumplimiento
No Cumplimiento
58,75%

Gráfico 3. NC de la cláusula Gestión de Activos.

60
 En base a las respuestas obtenidas, se puede inferir que, según la apreciación
del personal del CTIC, la “Gestión de Activos” tiene un NC del 41.25 %.

Cláusula 4: SEGURIDAD DEL RECURSO HUMANO.

Personas encuestadas: 1
Ítems que lo abordan: Del 42 al 45, para un total de 4 (ver cuadro 2)
Conteo Total: 4 (4*1)

Cuadro 11. Cumplimento de la Seguridad del RH.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 0 0
De Acuerdo 1 +1
Neutral 0 0
En Desacuerdo 1 -1
Totalmente En Desacuerdo 2 -4
TOTAL 4 -4

Fuente: Autor (2009).

Los valores para Pm, PO y PM son:

Pm = -2*4 = -8
PO = -4
PM = +2*4 = +8

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (-4-(-8)) / (+8-(-8)) * 100 = 25.00 %

Gráficamente:

61
 25,00%

Cumplimiento
No Cumplimiento

75,00%

Gráfico 4. NC de la cláusula Seguridad del RH.

En base a las respuestas obtenidas, se puede inferir que, según la apreciación

de la persona encuestada, la “Seguridad del Recurso Humano” tiene un NC del
25.00 %.

Cláusula 5: SEGURIDAD FÍSICA Y AMBIENTAL.

Personas encuestadas: 10
Ítems que lo abordan: Del 5 al 14, para un total de 10 (ver cuadro 2)
Conteo Total: 100 (10*10)

Cuadro 12. Cumplimento de la Seguridad Física y Ambiental.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 10 +20

De Acuerdo 34 +34
Neutral 23 0
En Desacuerdo 22 -22
Totalmente En Desacuerdo 11 -22
TOTAL 100 +11

Fuente: Autor (2009).

62
 Los valores para Pm, PO y PM son:
Pm = -2*100 = -200
PO = +11
PM = +2*100 = +200

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (11-(-200)) / (+200-(-200)) * 100 = 52.75 %

Gráficamente:

47,25% Cumplimiento
52,75% No Cumplimiento

Gráfico 5. NC de la cláusula Seguridad Física y Ambiental.

En base a las respuestas obtenidas, se puede inferir que la “Seguridad Física y

Ambiental” tiene un Nivel de Cumplimiento del 52.75 %.

Cláusula 6: CONTROL DE ACCESO.

Personas encuestadas: 10 para los ítems 15 y 16, 6 para los ítems del 19 al 33
Ítems que lo abordan: 15, 16 y del 19 al 33, para un total de 17 (ver cuadro 2)
Conteo Total: 110 (2*10 + 15*6)

63
 Cuadro 13. Cumplimento del Control de Acceso.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 18 +36
De Acuerdo 20 +20
Neutral 35 0
En Desacuerdo 27 -27
Totalmente En Desacuerdo 10 -20
TOTAL 110 +9

Fuente: Autor (2009).

Los valores para Pm, PO y PM son:

Pm = -2*110 = -220
PO = +9
PM = +2*110 = +220

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (9-(-220)) / (+220-(-220)) * 100 = 52.05 %

Gráficamente:

47,95% Cumplimiento
52,05%
No Cumplimiento

Gráfico 6. NC de la cláusula Control de Acceso

64
 En base a las respuestas obtenidas se puede inferir que, según la apreciación del
personal del CTIC, el “Control de Acceso” presenta un NC del 52.05 %.

Cláusula 7: GESTIÓN DE INCIDENTES.

Personas encuestadas: 10 para los ítems 17 y 18, 6 para el ítem 34
Ítems que lo abordan: 17, 18 y 34, para un total de 3 (ver cuadro 2)
Conteo Total: 26 (2*10 + 1*6)

Cuadro 14. Cumplimento de la Gestión de Incidentes.

Respuestas Posibles Frecuencia PO

Totalmente De Acuerdo 0 0
De Acuerdo 1 +2
Neutral 4 0
En Desacuerdo 10 -10
Totalmente En Desacuerdo 11 -22
TOTAL 26 -30

Fuente: Autor (2009).

Los valores para Pm, PO y PM son:

Pm = -2*26 = -52
PO = -30
PM = +2*26 = +52

Aplicando la fórmula propuesta para el Nivel de Cumplimiento se tiene:

NC = (-30-(-52)) / (+52-(-52)) * 100 = 21.15 %

Gráficamente:

65
 21,15%

Cumplimiento
No Cumplimiento

78,85%

Gráfico 7. NC de la cláusula Gestión de Incidentes.

En base a las respuestas obtenidas, se puede inferir que, según la apreciación

del personal del CTIC, la “Gestión de Incidentes” tiene un NC del 21.15%.

Resultado Global del Diagnóstico para el SGSI actual del CTIC

Es importante destacar que los resultados obtenidos anteriormente son

indicativos del Nivel de Cumplimiento individual de cada cláusula de seguridad de la
norma ISO/IEC 27001:2005. Sin embargo, cada una de estas cláusulas forman parte
de un todo que es el “Sistema de Gestión de la Seguridad de la Información”, por lo
que es necesario integrar estos resultados.
En el cuadro 6 se presentó el “Peso de Contribución” de cada cláusula de
seguridad evaluada, que junto con los NC calculados para cada una de ellas permiten
determinar el “Nivel del Madurez” del SGSI del CTIC, según lo expuesto por
Villafranca, D. y otros (2005).
En el siguiente cuadro se presenta el cálculo para determinar el Nivel de
Madurez del Sistema de Seguridad actual del CTIC, en base a las cláusulas elegidas:

66
 Cuadro 15. Nivel de Madurez de SGSI actual del CTIC.

Peso de Nivel de Nivel de

Cláusulas de Seguridad evaluadas Contribución Cumplimiento Contribución
% % %
1º Política de Seguridad 4.65 0.00 0.0
2º Aspectos Organizativos 11.63 40.00 4.65
3º Gestión de Activos 9.30 41.25 3.84
4º Seguridad del Recurso Humano 9.30 25.00 2.33
5º Seguridad Física y Ambiental 18.60 52.75 9.81
6º Control de Acceso 39.54 52.05 20.58
7º Gestión de Incidentes 6.98 21.15 1.48

Nivel de Madurez 42.69

Fuente: Autor (2009).

Este Nivel de Madurez de 42.69% calculado para el SGSI del CTIC puede ser
interpretado en base al Modelo de la Madurez de un Sistema de Gestión de la
Seguridad de la Información propuesto por López, F y otros (2006), el cual relaciona
el grado de eficacia de un SGSI con un Nivel de Cumplimiento determinado. En el
siguiente cuadro se presenta este modelo:

Cuadro 16. Modelo de Madurez para un SGSI.

Eficacia Nivel de Madurez Descripción

0% L0 Inexistente
10% L1 Inicial
50% L2 Intuitivo
90% L3 Definido
95% L4 Gestionado
100% L5 Optimizado

Fuente: López, F. y otros (2006).

67
 Cada uno de los niveles significa:
L0 – Inexistente; no existen controles desplegados.
L1 – Inicial; los controles existen, pero no se gestionan. El éxito es una cuestión
de azar. En este caso, las organizaciones exceden con frecuencia: presupuesto y
tiempo de respuesta. El éxito depende de personal de alta calidad.
L2 – Intuitivo; la eficacia de los controles depende de la buena suerte y de la
buena voluntad de las personas. El éxito es repetible, pero no hay un plan para
los incidentes más allá de la reacción puntual. Todavía hay un riesgo
significativo de exceder las estimaciones de coste y tiempo.
L3 – Definido; los controles están desplegados y son gestionados. Existe una
normativa establecida y procedimientos para garantizar la reacción profesional
ante los incidentes. Se lleva un mantenimiento regular de las protecciones.
Existe un factor en lo desconocido o no planificado. La confianza tiene un valor
cualitativo.
L4 – Gestionado; usando medidas de campo, la gerencia puede controlar
empíricamente la eficacia y la efectividad de los controles desplegados. Se
establecen metas cuantitativas de calidad. El funcionamiento de los procesos
está bajo control con técnicas estadísticas y cuantitativas. La confianza es
cuantitativa
L5 – Optimizado; el SGSI se centra en la mejora continua de los procesos con
mejoras tecnológicas incrementales e innovadoras. Se establecen objetivos
cuantitativos de mejoras en los procesos y se revisan continuamente para
reflejar los cambios en los objetivos de negocio, utilizándose como indicadores
en la gestión de la mejora de los procesos.

Como se puede observar, el Nivel de Madurez del SGSI del CTIC lo ubica en el
Nivel L1 - Inicial - del modelo.

68
Conclusiones del Diagnóstico

1. El nivel de madurez del Sistema de Seguridad Actual, en base a las siete

cláusulas evaluadas, catalogan al SGSI como “Inicial”.
2. Los controles de seguridad implantados no se gestionan adecuadamente,
ya que sólo son efectivos un 42.69% de las veces.
3. Las Políticas que sirven de guía para la Seguridad son inexistentes y la
gerencia no tiene control sobre las salvaguardas desplegadas.
4. Los Aspectos Organizativos relacionados con la seguridad no
contemplan un procedimiento de gestión claro para los controles
desplegados y para los incidentes detectados.
5. La Gestión de Incidentes, que es la que permite detectar y corregir las
fallas, presenta un NC Bajo, cercano al 21%.
6. La Gestión de los Activos, que es la que apoya el análisis y la Gestión
del Riesgo, tiene un NC de apenas 41.25%, lo que impide garantizar la
confianza en el Plan de Seguridad.
7. Los controles de la Seguridad de la Información se enfocan prácticamente
en la Seguridad Física y Ambiental y en el Control de Acceso, dejando
de un lado o en menosprecio de los controles restantes.

Estos resultados son coherentes con la observación directa y no participativa

que llevó a cabo el investigador durante el proceso de recolección de datos,
permitiendo concluir que: “El Plan de Seguridad de la Información que aplica el
Centro de Tecnología de Comunicación e Información del DCyT de la UCLA: No
cumple con los requisitos necesarios para ser considerado eficaz en el control de
incidentes de seguridad y se encuentra en un nivel de madurez “Inicial” en base a
los parámetros estudiados”.
Por lo tanto, de acuerdo al Sistema de Variables presentado (ver cuadro 2), las
Cláusulas de Seguridad medidas (Variables Independientes) indican que la Seguridad
de la Información (Variable Dependiente) se encuentra comprometida.

69
Recomendaciones del Diagnóstico

Las conclusiones a las que se llegaron, en base al análisis de los datos

obtenidos, permitieron determinar que el Plan de Seguridad de Información del CTIC
debía ser mejorado para garantizar su eficacia.
En relación a la definición y beneficios de un Sistema de Seguridad,
presentados en las bases teóricas expuestas en el capítulo II, se puede extraer que:
1. Un SGSI consiste en la planificación, ejecución, verificación y mejora
continua de un conjunto de controles y medidas, tanto técnicas como
organizativas, que permiten reducir el riesgo de sufrir incidentes de
seguridad.
2. Un SGSI ofrece un enfoque metodológico para administrar los servicios y
la información sensible con el fin de protegerlos. Su ámbito de aplicación
incluye a los empleados, los procesos y los sistemas informáticos.
3. Un SGSI asegura que una organización es dirigida de un modo eficiente.

Por lo tanto, se recomienda adoptar un Sistema de Gestión para la Seguridad de

la Información, tal como lo propone la norma ISO/IEC 27001:2005, ya que el
Establecimiento, Implantación, Monitoreo y Mejora Continua de un SGSI garantiza:
• Mejorar la gestión de la seguridad sobre una base continua, que puede
mantenerse a lo largo del tiempo, aun cuando se presenten cambios en la
Jefatura del Centro.
• Incrementar la confianza mutua entre los prestadores y los beneficiarios
de los servicios.
• Establecer un marco de comparación, con indicadores y métricas, que
ayude a gestionar la seguridad desde el punto de vista de la directiva.
• Ir implantado los controles de seguridad progresivamente, de acuerdo a
las necesidades y a los recursos disponibles. Puede comenzarse con los
objetivos de seguridad primordiales e ir abarcando, paulatinamente, los
restantes.

70
 • Que todo el personal conozca su responsabilidad y tome conciencia de los
beneficios de contribuir con la seguridad, tanto individual como grupal.
• La adopción de una norma probada y comprobada, avalada por
organizaciones de trayectoria mundial.

Fase II. Estudio de Factibilidad

Según Senn, J. (1987): “la factibilidad es la posibilidad de que el sistema sea

beneficioso para la organización”. En este sentido, para la recomendación aportada en
el punto anterior, se hace necesario determinar su factibilidad operativa, técnica y
económica.

Factibilidad Operativa

Esta prueba de factibilidad permite determinar si el sistema funcionará cuando

se desarrolle, instale y aplique. Partiendo de esto, a la investigación se le debió hacer
tres cuestionamientos:
1. Un nuevo sistema puede ser demasiado complejo para los usuarios de la
organización o los operadores del sistema. En este caso, los usuarios
pueden ignorarlo o usarlo de tal forma que cause errores.
2. Un nuevo sistema puede hacer que los usuarios se resistan a él, como
consecuencia de una técnica de trabajo, miedo a ser desplazados, interés
en el sistema antiguo u otras razones.
3. Un nuevo sistema puede introducir cambios demasiado rápido que
impidan que el personal pueda adaptarse a él ó aceptarlo.

Para esta propuesta, la factibilidad operativa está garantizada, ya que:

1. Existe una muy buena disposición, por parte de la Jefatura del Centro,
para mejorar la Seguridad del CTIC.

71
 2. Tanto el personal del CTIC como sus usuarios, tienen experiencia en el
área de computación y están familiarizados con los aspectos de la
seguridad tecnológica.
3. El personal del Centro está conciente de los incidentes de seguridad que
han ocurrido y han solicitado mejorar la seguridad física y el control de
acceso a las instalaciones.
4. El personal del Centro ha colaborado en el desarrollo de este trabajo de
seguridad y sus observaciones han sido de gran ayuda.

Factibilidad Técnica

A través de este estudio se busca analizar la relación entre medios y fines, con
el objeto de dar respuesta a la pregunta ¿Son los medios y estrategias que se
proponen, adecuados para el logro de los fines y objetivos buscados?
Para determinar este estudio de factibilidad, se debió evaluar:
1. Si el equipo y/o software estaban disponibles.
2. Si se tenían las capacidades técnicas requeridas para la alternativa que se
propuso.
3. Si se podían establecer las interfases entre el sistema actual y el
propuesto.
4. Si la organización disponía de personal con experiencia técnica suficiente
para diseñar, implantar, operar y mantener el sistema propuesto.

La viabilidad técnica de esta propuesta está garantizada, ya que:

1. La norma ISO/IEC 27001:2005 es, en si misma, un modelo extenso y
detallado, en el cual se especifican las etapas que se deben cumplir para la
implantación del SGSI.
2. Existe una gran cantidad de metodologías y herramientas AGRs que
facilitan el Análisis y la Gestión del Riesgo.

72
 3. En el país (Venezuela) operan empresas que ofrecen capacitación en la
norma ISO/IEC 27001:2005.
4. El Decanato de Ciencias y Tecnología cuenta con personal capacitado
para liderar este proyecto.
5. El CTIC cuenta con el equipo informático suficiente (computadoras y
periféricos) para el desarrollo de esta propuesta.

Factibilidad Económica

Este estudio de factibilidad se relaciona con la disponibilidad de recursos

humanos, materiales y financieros. Pretende definir, mediante comparación, los
beneficios y los costos estimados de un proyecto, para determinar si es recomendable
su implementación y posterior operación. En el desarrollo de un sistema, los
beneficios financieros deben igualar o exceder los costos de inversión.
Para la implantación de un SGSI se necesitan evaluar los siguientes costos:
1. De la persona responsable del Sistema de Gestión de Seguridad de la
Información.
2. De la capacitación y adiestramiento del responsable.
3. De la capacitación y adiestramiento del personal.
4. De la información a los usuarios de los servicios que el centro provee.
5. De la metodología para el Análisis y la Gestión del Riesgo.

La factibilidad económica de esta propuesta está garantizada, ya que:

1. El Consejo Universitario de la UCLA, consciente de los beneficios de
apoyar la Seguridad de la Información, ha aprobado normas para tal fin.
2. Existen programas de ayuda económica que apoyan los desarrollos
tecnológicos, tales como el CDCHT y los proyectos LOCTI.

73
 3. Existen metodologías y herramientas gratuitas para llevar a cabo la
instalación y operación de un SGSI, como por ejemplo: EBIOS, MAGERIT
e ISO27001.
4. Existen investigadores potenciales en los estudiantes de postgrado del
Decanato de Ciencia y Tecnología, particularmente en la maestría de
Ciencias de la Computación, mención Redes de Computadoras, que pueden
apoyar esta investigación, por la necesidad que tienen de realizar el trabajo
de grado, sin que esto requiera de una inversión económica por parte de la
Universidad; como por ejemplo: el caso del autor de esta propuesta.
5. El CTIC cuenta con personal que está en la disposición y en la capacidad de
formarse en el diseño, implantación, operación y monitoreo del SGSI.

Como referencia, se puede indicar que el costo para la adopción del nuevo
esquema de seguridad necesitaría una inversión inicial tal como se estima en el
siguiente cuadro:

Cuadro 17. Costo inicial asociados al Sistema propuesto.

Partida Total BsF.

Personal 0
Capacitación en SGSI (p/p) 4.300,00
Mobiliario de Oficina 1.800,00
Computador 2.500,00
Impresora a Color 500,00
Materiales de Oficina 1.000,00
TOTAL 10.100,00

Fuente: Autor (2009).

Se hace referencia a un costo inicial ya que no se incluyen los costos que se

puedan derivar de la instalación de nuevos mecanismos de control, productos del
Análisis y la Gestión del Riesgo.

74
 CAPÍTULO IV

PROPUESTA DEL ESTUDIO

El análisis de los resultados obtenidos, por la aplicación de los diferentes

instrumentos metodológicos, permitió identificar, analizar y diagnosticar el conjunto
de factores que condicionan la Seguridad de la Información que se maneja en el
Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y
Tecnología. A continuación se presenta la propuesta de diseño del Sistema de Gestión
para la Seguridad de la Información a ser implantado en el CTIC con la finalidad de
sugerir controles que minimicen los riesgos detectados.

Descripción de la Propuesta

Para el diseño del Sistema de Gestión para la Seguridad de la Información en el

Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y
Tecnología se adoptó la norma ISO/IEC 27001:2005, la cual establece como enfoque
de modelo el ciclo de Deming o PDCA (del inglés Plan-Do-Check-Act ó Planificar-
Hacer-Chequear-Actuar), que es una estrategia de mejora continua de la Seguridad de
la Información. Este estándar internacional proporciona un modelo sólido para
implementar los principios y lineamientos que gobiernan la evaluación, diseño,
implantación, gestión y re-evaluación de la seguridad.
La norma ISO/IEC 27001:2005 proporciona las etapas que se deben cumplir
para llevar a cabo un SGSI, dejando al impulsador del proyecto la adopción de estas
etapas adaptadas a la organización en la que se va a implantar el Sistema de Gestión o
la adopción de una metodología compatible con la norma.

75
 Para el Establecimiento del SGSI se escogió MAGERIT - Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información - versión 2.0, por ser
compatible con el estándar propuesto. Esta metodología se apoya en tres (3) libros, a
saber: (a) I – Método, (b) II - Catálogo de Elementos; y (c) III - Guía de Técnicas.
MAGERIT ofrece las siguientes ventajas: (a) Metodología madura para el
establecimiento de un SGSI; (b) reconocida por los organismos de certificación ISO;
(c) define claramente los pasos que deben darse para cada una de las fases dentro del
enfoque PDCA, con mucha documentación y ejemplos ilustrativos de los mismos; y
(d) es una metodología gratuita.
La herramienta AGR provista y desarrollada para MAGERIT es conocida con
el nombre de PILAR. Esta herramienta no se seleccionó ya que para su utilización se
debían cancelar los derechos de uso con un costo a la fecha de € 1.500 (euros) más
una cuota de mantenimiento anual de € 225. En consecuencia, se adoptó la ISO27K
ya que mantiene compatibilidad con la norma seleccionada y es gratuita.
La herramienta ISO27K fue desarrollada por la Organización No
Gubernamental ISO27001 Security y presenta las siguientes ventajas: (a) de fácil
utilización; (b) adaptable y modificable por y para cualquier organización; (c) bien
documentada, proporcionando ejemplos prácticos de su utilización; y (d) es gratuita.
En el anexo J se presenta la herramienta AGR confeccionada para el CTIC.

Desarrollo de la Propuesta

Tanto la norma ISO como la metodología MAGERIT dividen el proyecto SGSI

en una serie de etapas que deben llevarse a cabo de acuerdo al modelo PDCA, siendo
estas: (a) Establecimiento del SGSI; (b) Implementación y operación del SGSI; (c)
Monitoreo y revisión del SGSI; y (d) Mantenimiento y mejora del SGSI.
En la etapa de Establecimiento del SGSI, que es el objetivo de esta propuesta,
se contemplan los siguientes pasos: (a) Definición del Alcance del SGSI; (b)
Definición de una Política SGSI; (c) Definición del enfoque de Evaluación de
Riesgos; (d) Identificación de Riesgos; (e) Análisis y Evaluación del Riesgo; (f)

76
Opciones para el Tratamiento del Riesgo; (g) Seleccionar Objetivos de Control y
Controles; (h) Obtener la aprobación de la gerencia para los riesgos residuales; (i)
Obtener la autorización de la gerencia para implementar y operar el SGSI; y (j)
Preparar un enunciado de aplicabilidad.

Alcance del SGSI

Calderón, I. (2002) sugiere que el primer paso para establecer un SGSI debe ser
dar respuesta a la pregunta: ¿Qué debe protegerse? O en otras palabras, determinar si
la misión principal del Sistema de Gestión es proteger datos o servicios. La respuesta
a esta pregunta ayudó a definir con precisión el alcance del SGSI, por lo que del
levantamiento de información realizado y en base a la misión del CTIC se pudo
determinar que la función más importante del centro es la prestación de sus servicios,
ya que las alarmas se disparan cuando un determinado servicio no puede prestarse o
cuando éste se presta deficientemente.
Así pues, la misión del SGSI para el CTIC es la de proteger los servicios, lo que
llevó a identificar: (a) Los servicios y sus responsables; (b) la información que
permite prestar dichos servicios; (c) las aplicaciones y equipos que lo sustentan; (d)
las instalaciones físicas que hospedan los sistemas de información; y (e) el personal
relevante que tiene relación con los servicios que se prestan.
En relación a los servicios, puede destacarse que los de mayor relevancia para
la misión del centro son: (a) Servicio de Laboratorios; (b) Gestión de Servidores; y
(c) Servicio de Soporte Técnico.
Estas consideraciones previas permitieron definir el alcance del SGSI,
quedando expresado en el siguiente documento:

77
 ALCANCE DEL SGSI

DECLARACIÓN

El Sistema de Gestión para la Seguridad de la Información para el

CTIC abarca todas las áreas, procesos, servicios y demás activos
necesarios para garantizar la disponibilidad de los servicios que el
centro presta, tanto a nivel interno como a nivel del decanato;
asegurando la disponibilidad de los servicios por encima, pero sin
desmejora, de cualquier otra dimensión de la seguridad, como lo son la
integridad y la confidencialidad de la información. Por ello, se hará
énfasis en aquellos activos que, por su valor en relación a la
disponibilidad de los servicios y por su susceptibilidad a sufrir riesgos de
seguridad, puedan comprometer la misión del CTIC.

OBJETIVOS

(a) Garantizar el Servicio de Laboratorio y de Impresión.

(b) Garantizar el funcionamiento del Sistema Help desk como apoyo
para las actividades del Servicio de Soporte Técnico.
(c) Minimizar el hurto de parte y piezas de los equipos computadores
que se utilizan para el Servicio de Laboratorio.

Política SGSI

La política SGSI es un documento que sirve como marco referencial para

establecer objetivos, proporcionando un sentido de dirección general para la acción
en relación a la Seguridad de la Información. Este documento debe ser conocido por
toda la organización y debe ser aprobado por el Consejo del Decanato. A
continuación se expone este documento:

78
 POLÍTICA DEL SGSI

DECLARACIÓN.

Los servicios que el CTIC presta, la información que permite

prestar dichos servicios, las aplicaciones y equipos que lo sustentan, las
instalaciones físicas que hospedan los Sistemas de Información y el
personal vinculado directamente con la prestación de dichos servicios
deben permanecer principalmente disponibles, sin menoscabo de la
integridad y de la confidencialidad necesaria para que los servicios se
mantengan funcionando. Como norte de acción se velará porque los
usuarios del CTIC reciban un servicio oportuno, adecuado y de calidad
que satisfaga sus demandas y que redunde en beneficio de las actividades
académicas, administrativas y de extensión del decanato.

OBJETIVOS

(a) Asegurar que los usuarios del CTIC tengan acceso a los servicios
que se prestan, incluyendo los procesos, los sistemas y los equipos
de computación.
(b) Asegurar la veracidad y la completitud de la información necesaria
para prestar los servicios.
(c) Garantizar que la información que el Centro maneja o que está
contenida en los equipos de terceros, como resultado del Servicio de
Soporte Técnico, sólo sea accedida por sus propietarios o por
personal autorizado.

79
Enfoque de Evaluación de Riesgos

A través de esta etapa se seleccionó el Enfoque para la Evaluación de Riesgos y

se determinó el Nivel de Riesgo Aceptable, de acuerdo a las necesidades del negocio
en materia de Seguridad de la Información.
La metodología MAGERIT, según López, F y otros (2006), presenta dos
enfoques posibles para la Evaluación del Riesgo. Primero, un modelo cualitativo que
busca una valoración relativa del riesgo que corren los activos, sin cuantificarlo con
precisión más allá de relativizar los elementos del modelo, utilizando escalas
discretas de valores. Segundo, un modelo cuantitativo que persigue una estimación
precisa del riesgo, comparando el gasto en salvaguardas con la disminución de
pérdidas, utilizando valores reales (monetarios). Indican estos autores que:

Los modelos cualitativos ofrecen resultados útiles antes que los modelos
cuantitativos, simplemente porque la captura de datos cualitativa es más
ágil que la cuantitativa. Los modelos cualitativos son eficaces
relativizando lo más importante de lo que no es tan importante; pero
agrupan las conclusiones en grandes grupos. Los modelos cuantitativos,
por el contrario, consiguen una ubicación precisa de cada aspecto.

También exponen los autores que el modelo de valor de una organización debe
emplearse durante largo tiempo, al menos durante los años que dure el Plan de
Seguridad, por lo que recomiendan iniciar con un enfoque cualitativo, agregando:

Es notablemente más dificultoso generar un modelo de valor desde cero

que ir adaptando un modelo existente a la evolución de los activos del
sistema y a la evolución de los servicios que presta la Organización. En
esta evolución continua puede afrontarse la progresiva migración de un
modelo cualitativo inicial hacia un modelo cada vez más cuantitativo.

En base a lo citado anteriormente, para el Análisis del Riesgo en este caso de

estudio se optó por el modelo cualitativo de Evaluación de Riesgo propuesto en la

80
metodología MAGERIT, pudiendo migrarse paulatinamente a un modelo
cuantitativo, si se determina necesario.
Respecto a la Gestión del Riesgo, cabe destacar que no es práctico controlarlo
en un cien por ciento, sobre todo durante la implantación del primer SGSI. Por ello,
en ISO27001 Security proponen la variable “% de Riesgo Inicial Aceptado” (con
valores entre el 5 y el 15%), la cual fija el Nivel de Riesgo que la gerencia está
dispuesta a asumir y para el cual no se desplegarán salvaguardas. La selección precisa
de esta variable permite coordinar, de forma adecuada y realista, los Planes de
Gestión de Riesgos.
Así pues, de común acuerdo con la Jefatura del CTIC se fijó el “Riesgo Inicial
Aceptado” en un 15% del Riesgo Máximo Posible.

Identificación del Riesgo

Las actividades que se llevaron a cabo en esta etapa se toman de la metodología

MAGERIT y para el cálculo del riesgo se seleccionó la herramienta ISO27K. La
identificación del riesgo involucró las siguientes actividades: (a) Identificación de
Activos. (b) Clasificación de Activos. (c) Identificación de Amenazas (d)
Determinación del Riesgo.

Actividad 1: Identificación de Activos

Esta actividad involucró al personal encargado de la gestión de los servicios que

el centro presta y consistió en realizar: (a) una descripción de las actividades que se
llevan a cabo en el centro y del servicio que se presta; y (b) un listado de los activos
relevantes para la prestación de los mismos.
Los activos se identificaron de acuerdo a los servicios de mayor relevancia para
la misión del centro que son: (a) Servicio de Laboratorios; (b) Gestión de Servidores;

81
y (c) Servicio de Soporte Técnico. En el anexo K se presenta un modelo de la planilla
utilizada para esta actividad.
A continuación se presentan los resultados obtenidos:

Servicio de Laboratorio.
Como consecuencia de los diferentes tipos de laboratorios presentes en el CTIC
se distinguen los siguientes tipos de Servicios: Servicio de Laboratorio Abierto y
Servicio de Laboratorio Cerrado. Ambos servicios dependen de la Gestión de
Servidores. Además, se encuentra el Servicio de Impresión, que depende
funcionalmente del Servicio de Laboratorio Abierto.
El Servicio de Laboratorio Abierto está configurado para que los estudiantes
puedan reforzar sus actividades académicas permitiéndoles el libre acceso a Internet,
correo electrónico, consulta de páginas web académicas y de interés público.
También les permite la descarga de aplicaciones, edición, compilación y ejecución de
programas, quemado de cd y dvd, y la impresión de documentos. Este servicio
depende funcionalmente del Servicio de Gestión de Servidores.
Los activos esenciales detectados para prestar el Servicio de Laboratorio
Abierto son: (a) Servicio de Gestión de Servidores; (b) PC de Usuario; (c) Clave de
Usuario del CTIC; (d) Áreas de Laboratorio Abierto; (e) Estudiante; (f) Ayudante de
laboratorio; y (g) Personal Administrativo.
El Servicio de Laboratorio Cerrado está configurado principalmente para
apoyar las labores de docencia. Es utilizado por los profesores y/o preparadores de las
diferentes cátedras del decanato con el fin de dictar clases prácticas o talleres. Los
equipos de computación utilizados en este servicio cuentan con programas,
aplicaciones y equipos auxiliares que facilitan la labor docente. Depende
funcionalmente del Servicio de Gestión de Servidores. Los ayudantes y el Personal
Administrativo son los encargados de la seguridad del área.
Los activos esenciales detectados para prestar el Servicio de Laboratorio
Cerrado son: (a) Servicio de Gestión de Servidores; (b) PC de Usuario; (c) Clave de
Usuario del CTIC; (d) Video Beam; (e) Áreas de Laboratorio Cerrado; (f) Profesor;

82
(g) Preparador; (h) Estudiante; (i) Ayudante de laboratorio; y (j) Personal
Administrativo.
El Servicio de Impresión le permite al estudiante imprimir trabajos y cualquier
otra información de índole académica desde los Laboratorios Abiertos del centro.
Cada estudiante posee una cuota de impresión, la cual le fue asignada al
momento de inscribirse en el lapso académico que cursa, pudiendo aumentarla
cancelando el arancel establecido. Esta cuota de impresión se maneja desde el
Servicio de Gestión de Servidores.
Los activos esenciales detectados para prestar este servicio son: (a) Servicio de
Laboratorio Abierto; (b) Servicio de Gestión de Servidores; (c) Impresora Láser; (d)
Papel Bond; y (e) Tóner.

Servicio de Soporte Técnico.

Tiene como misión principal proporcionar soporte técnico preventivo y
correctivo a los equipos informáticos del decanato.
El equipo técnico está conformado por tres empleados del Personal
Administrativo de la UCLA y un grupo de ayudantes (estudiantes dentro del
programa de ayudantías), los cuales colaboran con las actividades que se desarrollan
en esta unidad.
Con el fin de facilitar la gestión de las Órdenes de Servicio, se utiliza un
sistema Help desk de tipo open source, adaptado a las necesidades del centro, el cual
puede accederse a través del enlace //soportedcyt.ucla.edu.ve. Este sistema está
montado sobre un servidor Help desk, el cual se encuentra ubicado en el Área de
Gestión de Servidores.
La Orden de Servicio la crea el usuario del Help desk de forma online
utilizando para ello su clave de acceso (si no se posee una cuenta, esta puede ser
solicitada a su administrador usando una de las opciones que este sistema
proporciona). Luego, cada orden es tomada por uno de los técnicos con el propósito
de brindar el soporte, previa verificación de su pertenencia al decanato; completar la
descripción del trabajo realizado y cerrar la orden en el Help desk.

83
 Es necesario destacar que el CTIC debe garantizar la integridad y la
confidencialidad de la información contenida en los equipos a los que se les presta
servicio, siguiendo las políticas del SGSI.
En este proceso de atención de la orden, si la solicitud esta relacionada con una
falla de hardware, el técnico debe verificar si el equipo reportado está cubierto por la
garantía del fabricante. Para ello, se debe tomar nota del serial del equipo y solicitarle
a la persona encargada de gestionar su garantía que determine si se debe asumir la
reparación del mismo ó si se debe reportar al fabricante a través de su propio Help
desk.
La descripción completa de los equipos del decanato se encuentra especificada
en una base de datos de Inventario, en la cual se detalla: (a) marca; (b) modelo; (c)
serial; (d) ubicación y; (e) responsable, entre otros datos. Esta se encuentra
almacenada tanto en el computador PC_2 de soporte técnico como en la PC de la
Jefatura del centro.
Para los reportes gerenciales se lleva un histórico de órdenes servidas, con la
información necesaria para las tareas administrativas y de control.
Los activos esenciales detectados para prestar este servicio son: (a) Servicio de
Gestión de Servidores; (b) Inventario de Equipos del decanato; (c) Clave de
Administrador del Help desk del CTIC; (d) Clave de Técnico del Help desk del
CTIC; (e) Clave de Usuario del Help desk del CTIC; (f) Clave de Usuario del Help
desk del Fabricante; (g) PC_1 administrativo para la gestión de las órdenes de
servicio, (h) PC_2 administrativo con el inventario de equipos; (i) PC de Usuario; (j)
Archivos de usuarios del decanato; (k) Personal Administrativo; y (l) Ayudante de
soporte técnico.

Gestión de Servidores.
Este servicio tiene como función principal la instalación, configuración y
mantenimiento de los servidores que apoyan las actividades del centro. Entre otras, se
pueden destacar: (a) Mantenimiento de las cuentas de estudiantes. (b) Control de las
cuotas de impresión de los estudiantes en forma automática. (c) Gestión de bases de

84
datos. (d) Gestión de archivos. (e) Monitoreo de las actividades de la red del centro.
(f) Gestión de los servicios de comunicación. (g) Gestión de órdenes de servicios.
Entre los servidores que se tienen desplegados se encuentran: (a) Dos (2) IBM
System X 3650, uno de ellos identificado como CTIC-PDC con el sistema operativo
DEBIAN-LENNY, funcionando como controlador de dominio principal y gestión de
las cuentas y perfiles de usuarios, proveyendo además los servicios de DNS y DHCP.
El segundo identificado como CTIC-FTP con LINUX-CENTOS, el cual funciona
como repositorio de aplicaciones y documentos a través del servicio de FTP. Ambos
servidores comparten un arreglo de discos con capacidad de 2.1 Terabytes (b) Un
servidor ALPHA, cuya función principal es apoyar la programación en C ANSI. (c)
Un VAX STATION para la programación en MACRO ASSEMBLER. (d) Un equipo
servidor para la aplicación Help desk de Soporte Técnico.
En el CTIC-PDC se encuentran instalados los siguientes paquetes: (a) SAMBA,
que facilita la interacción entre clientes UNIX y Windows. (b) OPEN LDAP, que es
un protocolo cliente/servidor que permite acceder a servicios de directorios y de base
de datos en Unix. (c) CUPS, para la gestión del servidor de impresión (d) PYKOTA,
para la implementación y gestión de las cuotas de impresión sobre CUPS.
Los activos esenciales detectados en este servicio son: (a) Servicio de DNS. (b)
Servicio de DHCP. (c) Servicio de FTP. (d) Cuenta y Perfil del Usuario del CTIC. (e)
Cuenta del Usuario en la VAX STATION. (f) Cuenta del Usuario en el ALPHA. (g)
Orden de Servicio del Help desk. (h) SAMBA. (i) OPEN LDAP. (j) CUPS. (k)
PYKOTA. (l) Sistema Operativo del Help desk – DEBIAN -. (m) Sistema Operativo
CTIC-PDC - DEBIAN LENNY -. (n) Sistema Operativo CTIC-FTP - CENTOS -. (o)
Cuenta global del Usuario del Help desk. (p) Aplicación Help desk/Web. (q) IBM
System X 3650 – CTIC-PDC. (r) IBM System X 3650 – CTIC-FTP. (s) VAX
STATION. (t) Equipo ALPHA. (u) Sistema de Regulación de voltaje. (v) Aire
acondicionado de la Sala de Operaciones. (w) Personal de la Sala de Operaciones. (x)
Sala de Operaciones. (y) Servidor Help desk. (z) Arreglo de discos.

85
Actividad 2: Clasificación de Activos.

En base a las propuestas en MAGERIT, se configuró un conjunto de planillas

para la clasificación de los activos, las cuales pueden ser observadas en el anexo L.
Estas permiten ubicar a un activo en una de las siguientes categorías: (a) Servicios.
(b) Datos e Información. (c) Equipamiento. (d) Aplicaciones. (e) Soporte de
Información. (f) Equipamiento Auxiliar. (g) Instalaciones. (h) Personal.
Para cada activo se especificó la siguiente información en la planilla
correspondiente: (a) Código asignado. (b) Nombre. (c) Cantidad de activos. (d)
Descripción. (e) Responsable. (f) Valor propio del activo de acuerdo a las
Dimensiones de Seguridad, con una justificación de la valoración dada. (g)
Determinación de los activos que dependen de él (sus activos superiores) con su
Valoración Propia. (h) Valor Acumulado del activo.
Tal como se indica en la metodología seleccionada, para valorar un activo se
debe identificar a su responsable, quien será la persona encargada de su valoración
utilizando las tablas adecuadas al caso, permitiendo traducir su percepción de valor en
una medida cualitativa.
De allí que sea importante definir los Criterios de Valoración, por lo que en la
metodología MAGERIT exponen:

Las dimensiones de valoración (Disponibilidad, Integridad y

Confidencialidad) son las características o atributos que hacen valioso un
activo y se utilizan para valorar las consecuencias de la materialización de
una amenaza. La valoración que recibe un activo en una cierta dimensión
es la medida del perjuicio para la organización si el activo se ve dañado
en dicha dimensión. Para valorar los activos vale, teóricamente, cualquier
escala de valores. Si la valoración es económica, hay poco más que
hablar; pero frecuentemente la valoración es cualitativa, quedando a
discreción del usuario; es decir, respondiendo a criterios subjetivos. Si se
realiza un análisis de riesgo de poco detalle, se puede optar por una tabla
simplificada de 5 niveles.

86
 Tomando en cuenta que esta propuesta es para el primer SGSI del CTIC, se
optó por una tabla para determinar el Valor Propio de cada activo, con escala entre
uno (1) y cinco (5) de acuerdo a las Dimensiones de Seguridad. Esta tabla puede ser
observada en el anexo M.
En otro orden de ideas, López, F. y otros (2006) indican que en un SGSI los
activos se relacionan entre si, dependiendo unos de otros. Estas dependencias
permiten relacionar los demás activos con los datos y los servicios.
Para ello, definen el concepto de “Dependencias entre Activos” como la medida
en que un activo superior se vería afectado por un incidente de seguridad en un activo
inferior. Entre algunos tipos de dependencia citan:
1. Los Servicios pueden depender de otros Servicios, de los Datos y/o de las
Aplicaciones.
2. Los Datos dependen de las Aplicaciones que los gestionan, de los
Equipos que los hospedan y/o de los Soportes de Información que los
contienen.
3. Las Aplicaciones pueden depender de otras Aplicaciones, de los Equipos
que las albergan y/o del Personal que las utiliza.
4. Los Equipos dependen del Equipamiento Auxiliar, de las Instalaciones
donde se encuentran ubicados y del Personal que los opera.
5. El Equipamiento Auxiliar puede depender de otros Equipamientos
Auxiliares, de las Instalaciones en las que se encuentran ubicados y/o del
Personal Encargado.
6. Los Soportes de Información dependen del Personal encargado y del
Lugar donde se encuentran almacenados.
7. Las Instalaciones dependen del Personal Administrativo y/o del Personal
de Seguridad.

Estas relaciones de dependencia son las que permiten determinar el Valor

Acumulado de un activo.

87
 Para calcular el Valor Acumulado de un activo en una dimensión de seguridad
específica, se toma en cuenta su Valor Propio y el Valor de sus activos superiores en
dicha dimensión. En este caso, se dice que “S” es un superior de “A”, si “S” puede
comprometerse a través de un incidente de seguridad en el activo “A”.
Por tanto, definen el Valor Acumulado de “A” como el máximo Valor del
conjunto de sus activos superiores y de su Valor Propio. Es decir: sea “A” un activo;
VPA el Valor Propio de “A” y {Si} el conjunto de activos superiores de “A”.
Partiendo de lo expuesto por estos autores, se tiene que la fórmula para el cálculo del
Valor Acumulado del activo “A” (VAA) es:

VAA = MAX {VP Si | VPA } con i: 0..n

En otras palabras, el Valor Acumulado de un activo, en una dimensión dada, es

el mayor de los valores que soporta, ya sea el propio o el de alguno de sus superiores.
Según lo propuesto en MAGERIT, se elaboraron los Mapas de Dependencia en
donde se especifican las relaciones de seguridad entre los activos que forman parte de
un mismo servicio, con el fin de determinar el “Valor Acumulado” de cada activo. En
los Mapas de Dependencia, un enlace con línea continua determina una relación de
dependencia directa entre los activos conectados. Por otro lado, una línea discontinua
indica que el activo depende de otro servicio con su propio Mapa de Dependencia.
Las figuras 4, 5, 6, 7 y 8 corresponden a las dependencias de los activos para
los servicios de Laboratorio Abierto, Servicio de Impresión, Laboratorio Cerrado,
Soporte Técnico y Gestión de Servidores, respectivamente.
Luego de finalizar la “Clasificación de los Activos” se procedió a consolidar la
información aportada por cada planilla y por los Mapas de Dependencia en la hoja de
“Catálogo de Activos” de la herramienta AGR, tal como se muestra en la figura 9.

88
Figura 4. Mapa de dependencia de activos para el Servicio de Laboratorio Abierto.
Fuente: Autor (2010).

Figura 5. Mapa de dependencia de activos para el Servicio de Impresión.

Fuente: Autor (2010).

89
Figura 6. Mapa de dependencia de activos para el Servicio de Laboratorio Cerrado. Fuente: Autor (2010).

90
Figura 7. Mapa de dependencia para el Servicio de Soporte Técnico. Fuente: Autor (2010).

91
Figura 8. Mapa de dependencia para la Gestión de Servidores. Fuente: Autor (2010).

92
Figura 9. Catálogo de Activos para el SGSI del CTIC
Fuente: Autor (2010).

93
Actividad 3: Identificación de Amenazas.

Esta actividad consiste en hacer una lista de las amenazas que afectan a los
activos, donde algunas amenazas serán ambientales, como incendios, terremotos,
explosiones o inundaciones pudiendo incluir eventos poco probables pero posibles,
como fallas estructurales. Algunas amenazas provienen del personal y otras del
medio. En el anexo N se sugieren las posibles amenazas por tipo de activo de acuerdo
a las tres dimensiones de seguridad (tomado de la metodología MAGERIT).
En esta propuesta, por cada activo y por cada dimensión de seguridad se
determinaron las amenazas a las que está expuesta el activo, en donde la
materialización de una amenaza produce un incidente de seguridad, originando una
consecuencia, la cual fue necesaria describir. De las amenazas probables se
seleccionaron las que, según la experiencia que tenía el personal del CTIC, se
materializaron en algún momento. También se consideraron aquellas amenazas que,
aunque no se habían presentado, pudiesen presentarse en algún momento.

Actividad 4: Determinación del Riesgo.

Una vez identificadas las amenazas, debe estimarse la probabilidad de que cada
una de ellas se materialice. Esto se conoce como Probabilidad de Ocurrencia (o de
falla). Si algo sucede en forma regular, la estimación puede basarse en los registros
históricos.
Por otro lado, un incidente de seguridad ocasiona una degradación en el activo,
la cual debe estimarse. Así pues, determinar el riesgo consiste en asignarle un valor a
ese riesgo de acuerdo a los parámetros establecidos. Para la metodología MAGERIT
el riesgo es un producto de: el Impacto (equivalente a Valor Acumulado por
Degradación) por la probabilidad (frecuencia) de que la amenaza se materialice. La
estimación de estos valores permite determinar el Nivel del Riesgo (NR), donde:

NR = Valor Acumulado * Degradación * Probabilidad de Ocurrencia.

94
 Para la estimación de la degradación se empleó una escala que proporciona un
valor (en porcentaje) de la degradación susceptible del activo, si la amenaza se
materializa. Y para valorar la probabilidad de falla, una escala con valores entre cero
(0) y seis (6), de acuerdo a la frecuencia de una falla en un período de tiempo dado.
Ambas escalas se tomaron de la herramienta ISO27K y se presentan en el anexo O.
Vale destacar que el Nivel de Riesgo máximo posible es de 30 (5 x 6 x 100%)
en función del puntaje máximo del Valor Acumulado, Probabilidad y Degradación
propuestos.
Sin embargo, en ISO27001 Security indican que la determinación del riesgo
debe ir más allá de sólo considerar el Nivel del Riesgo calculado. Para ellos, un
incidente difícil de detectar puede acumular pérdidas en el tiempo y el riesgo
asociado debe considerarse bajo este parámetro.
Cabe mencionar que un riesgo alto (con 25 puntos, por ejemplo) fácilmente
detectable, puede ser menos comprometedor para las actividades del negocio que un
riesgo medio (con 15 puntos, por ejemplo) con una dificultad alta de ser detectado.
Tomando como base lo expuesto en ISO27K, el Nivel de Probabilidad de
Riesgo (NPR) se determina multiplicando el Nivel de Riesgo (NR) por la
Probabilidad de Gestión (Gestión = Detección y/o Corrección). Matemáticamente:

NPR = Nivel del Riesgo * Probabilidad de Gestión.

En el anexo P se presenta una escala cualitativa para la Probabilidad de Gestión,

según la propuesta en ISO27K.
A continuación se presenta la “Hoja de Cálculo de Riesgo” para los activos del
CTIC, en la cual se detallan los resultados obtenidos:

95
Figura 10. Matriz de Amenazas y Riesgos. Fuente: Autor (2010).

96
Figura 10. Continuación.

97
Figura 10. Continuación.

98
Figura 10. Continuación.

99
Figura 10. Continuación.

100
Figura 10. Continuación.

101
Figura 10. Continuación.

102
Análisis y evaluación del riesgo

El Análisis y la Evaluación del Riesgo para el caso del CTIC se realizó

tomando en cuenta el NPR arrojado por cada riesgo, donde el NPR máximo posible
es de 150 puntos con un Riesgo Inicial Aceptado del 15%.
En la columna “NPR Actual” se utilizaron colores para clasificar y agrupar los
riesgos. Un NPR ROJO es considerado “de alto riesgo”, por lo que amerita atención
inmediata. Un NPR AMARILLO es considerado “de riesgo medio” y ameritan
atención luego de haber controlado los riesgos en ROJO. Un NPR VERDE es
considerado bajo, por lo que su atención puede posponerse por algún tiempo. Un
NPR GRIS indica que el riesgo fue asumido por la gerencia y no se desplegarán
salvaguardas para controlarlo. A continuación se presenta los resultados desde la
matriz de la figura 10:
1. Total de amenazas y riesgos detectados: 64
2. Total de riesgos con NPR en ROJO: 3
3. Total de riesgos con NPR en AMARILLO: 12
4. Total de riesgos con NPR en VERDE: 7
5. Total de riesgos con NPR en GRIS: 42

Por consiguiente, los 3 riesgos en ROJO deben atenderse de inmediato; luego

los 12 en AMARILLOS y por último los 7 en VERDES. Los riesgos en GRIS son
asumidos por la Jefatura del CTIC para esta primera etapa del SGSI, pudiendo ser
gestionados en un estudio posterior de Análisis y Gestión de Riesgo. Cabe destacar
que la cantidad de riesgos y su nivel puede variar en relación al Riesgo Inicial
Aceptado.
Para proseguir con el siguiente paso, se ordenó de forma descendente la matriz
anterior de acuerdo al NPR, omitiendo aquellos ítems con puntaje inferior a 23
(coloración en GRIS).

103
Opciones para el tratamiento del riesgo

Según la Norma ISO/IEC 27002:2005 la opciones posibles para el tratamiento

de riesgos son: (a) Aplicar controles apropiados. (b) Aceptar riesgos consistente y
objetivamente. (c) Evitar los riesgos. (d) Transferir los riesgos.
De las opciones propuestas por la norma se decidió tomar las 2 primeras, por lo
que en este caso de estudio los riesgos serán controlados o asumidos.

Selección de Objetivos de Control y Controles

El objetivo de este paso es proponer controles o salvaguardas para gestionar los

riesgos calificados como importantes (coloración en ROJO, AMARILLO o VERDE)
Estos controles se toman de la ISO/IEC 27002:2005; sin embargo, la norma aclara
que los controles propuestos no son exclusivos y podrían adoptarse otros tipos de
controles.
Es importante recordar que el NPR es un valor que depende directamente de las
variables: (a) Valor del Activo, (b) Porcentaje de Degradación, (c) Probabilidad de
Falla y (d) Probabilidad de Gestión, por lo que la implementación de un control
incide positivamente en el NPR al mejorar las dos últimas.
En la figura 11 se detallan completamente los controles propuestos para cada
amenaza, junto con los nuevos valores estimados para la Probabilidad de Falla, la
Probabilidad de Gestión y el NPR, una vez que sean implementados dichos controles.
Por su parte, la Norma ISO/IEC 27002:2005 detalla los lineamientos de
implementación de cada control.

104
 Nota:
1° La equis (x) indica que se deben seleccionar todos los controles listados en el objetivo de control correspondiente

Figura 11. Matriz de Gestión de Riesgo, Controles recomendados y NPR Estimado. Fuente: Autor (2010).

105
Figura 11. Continuación

106
Figura 11. Continuación.

107
Figura 11. Continuación.

108
 Nota:
1° La equis (x) indica que se deben seleccionar todos los controles listados en el objetivo de control correspondiente

Figura 11. Continuación.

109
 En el siguiente cuadro se presentan los controles sugeridos, productos del
resultado de la evaluación del riesgo, agrupados por Cláusula de Seguridad junto con
las Amenazas que gestionan. Esta es una forma resumida y clara de observar los
controles que se proponen para gestionar los riesgos detectados en el CTIC.

Cuadro 18. Controles para gestionar los riesgos, por Cláusula de seguridad.

NÚMERO DE
CLÁUSULA CONTROLES PROPUESTOS LA
AMENAZA

7.1.1 Inventario de activos.

GESTIÓN DE 7, 19, 28, 29,
7.1.2 Propiedad de los activos.
ACTIVOS. 30, 31,32.
7.1.3 Uso aceptable de los activos.
SEGURIDAD 8.1.1 Responsabilidades y Funciones.
7, 19, 29, 30,
LIGADA A LOS 8.2.1 Responsabilidades de la dirección.
31, 32, 61, 63,
RECURSOS 8.2.2 Concienciación, formación y capacitación en S.I.
64.
HUMANOS. 8.2.3 Proceso Disciplinario
9.1.2 Control físico de ingreso.
SEGURIDAD
9.1.3 Seguridad en las oficinas, …
FÍSICA Y 32, 38.
9.2.1 Ubicación y protección del equipo.
AMBIENTAL
9.2.4 Mantenimiento de equipo.

10.1.1 Procedimientos de Operación Documentados.

10.1.2 Gestión de Cambios.
6, 7, 8, 13, 17,
GESTIÓN DE 10.3.1 Gestión de la Capacidad.
18, 19, 21, 22,
COMUNICACIONES 10.5.1 Copias de Seguridad.
25, 28, 29, 30,
Y OPERACIONES. 10.7.1 Gestión de medios removibles.
42, 44, 49.
10.10.1 Registro de auditoría.
10.10.5 Registro de fallas.
11.1.1 Política de control de acceso.
11.2.1 Registro de usuario.
11.2.2 Gestión de privilegios.
11.2.3 Gestión de contraseñas de usuario.
11.2.4 Revisión de los derechos de acceso de usuario.
11.3.1 Uso de contraseña.
11.3.2 Equipo de usuario desatendido.
CONTROL DE 7, 8, 19, 21, 25,
11.3.3 Política de puesto de trabajo despejado y
ACCESO. 29, 30, 31.
pantalla limpia.
11.5.1 Procedimientos seguros de inicio de sesión.
11.5.2 Identificación y autenticación de usuario.
11.5.3 Sistema de gestión de contraseñas.
11.5.4 Uso de los recursos del sistema.
11.5.5 Desconexión automática de sesión.
11.5.6 Limitación del tiempo de conexión.

110
 12.5.1 Procedimientos de control de cambios.
ADQUISICIÓN, 12.5.2 Revisión técnica de la aplicación después de
DESARROLLO Y cambios en el sistema.
MANTENIMIENTO 12.5.3 Restricciones a los cambios en los paquetes de 42, 44, 49.
DE LOS SISTEMAS software.
DE INFORMACIÓN. 12.6.1 Control de las vulnerabilidades técnicas.

GESTIÓN DE LA 14.1.3 Desarrollar e implementar los planes de

CONTINUIDAD continuidad incluyendo la S.I. 38.
DEL NEGOCIO.

Fuente: Autor (2010).

Aprobación de la gerencia para los riesgos residuales

Según la ISO/IEC 27001:2005 el riesgo residual es: “El riesgo remanente

después del tratamiento del riesgo”. En el paso anterior – Selección de Objetivos de
Control y Controles – se propusieron salvaguardas para los riesgos detectados y
clasificados como importantes. La aplicación de estos controles persigue llevar el
riesgo a niveles aceptables, permitiendo un margen de error – Riesgo Residual -, el
cual debe ser conocido y aprobado por la gerencia.
Partiendo de ello, se hace necesario en este caso de estudio que la Jefatura del
CTIC apruebe el Riesgo Residual no cubierto. La aprobación se puede conseguir a
través de dos vías:
1. Firmando el documento “Matriz de Gestión de Riesgo, Controles
Recomendados y NPR Estimado” propuesto en la figura 11.
2. A través de la firma del siguiente documento:

111
 APROBACIÓN DEL RIESGO RESIDUAL

DECLARACIÓN

A través del siguiente documento se aprueba el “Riesgo Residual”

no cubierto en la implantación de los controles sugeridos como resultado
de la Evaluación del Riesgo para el primer “Sistema de Gestión para la
Seguridad de la Información” del “Centro de Tecnología de Información
y Comunicación” del Decanato de Ciencias y Tecnología. A los ___ días
del mes de ________ del 2010.

Jefatura del CTIC

Firma autorizada

Autorización de la gerencia para implementar y operar el SGSI

Este paso persigue garantizar la puesta en marcha de SGSI, con el compromiso

gerencial de facilitar los recursos necesarios para la implementación de los controles
propuestos.
En este caso de estudio, la persona encargada de la Jefatura del CTIC no tiene
la competencia para autorizar los recursos necesarios para la implementación y
operación del SGSI; sin embargo, de considerar pertinente la adopción de los
controles propuestos como solución a los problemas detectados en la seguridad de la
información que se maneja en el CTIC, pudiese llevar a cabo las acciones necesarias
para lograr dicha aprobación a través de una instancia superior (Consejo de Decanato
o Consejo Universitario).

112
 La autorización para implementación del SGSI en el CTIC se puede lograr a
través de:
1. La firma del documento “Enunciado de Aplicabilidad” por parte del
“Órgano Colegiado” con competencia para ello. Este documento se
presenta en las páginas siguientes.
2. En su defecto, con la firma del siguiente documento:

AUTORIZACIÓN DE IMPLEMENTACIÓN

RESOLUCIÓN Nº _____

El __________________________ de la Universidad Centroccidental

“Lisandro Alvarado”, en Sesión Nº ______, Ordinaria, celebrada el día
____ de ______ del año ________, en uso de las atribuciones legales y
reglamentarias que le confiere la ley AUTORIZÓ la IMPLEMENTACIÓN
del primer “SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN” del “CENTRO DE TECNOLOGÍA DE
INFORMACIÓN Y COMUNICACIÓN” del DECANATO DE CIENCIAS
Y TECNOLOGÍA.

Órgano Colegiado
Firma(s) autorizada(s)

113
Enunciado de Aplicabilidad

El “Enunciado de Aplicabilidad” es el documento en el cual se especifican: (a)

Los objetivos de control y controles seleccionados con su justificación; y (b) Los
controles excluidos y las razones de su exclusión. Tiene como finalidad la
observancia de todos los controles de seguridad propuestos en la norma ISO/IEC
27001:2005, con la justificación de su inclusión o exclusión, según sea el caso.
Con el objeto de elaborar y presentar el “Enunciado de Aplicabilidad” se
reformuló el documento propuesto por la ISO27001 Security home con derechos
parcialmente reservados a nombre de Richard O. Regalado, el cual puede ser
accedido en su versión original a través del enlace:
http://www.iso27001security.com/ISO27k_SOA_sample.xls
El documento confeccionado presenta la siguiente información: (a) Objetivos
de Control y Controles propuestos por la Norma; (b) Aplicabilidad del control
presentado; y (c) Comentario sobre su aplicabilidad.
Por su aplicabilidad, un control puede tener los siguientes estatus: (a) Excluido;
(b) Actualmente desplegado; y (c) Seleccionado. Vale destacar que la aplicabilidad de
un control no es exclusiva, pudiendo justificarse por uno o varios motivos.
Un control puede ser excluido porque: (a) No es aplicable al objeto de estudio;
(b) Es económicamente inviable; o (c) Se pospone su implementación.
Un control actualmente desplegado puede ser efectivo total o parcialmente, por
lo que según sea el caso, requerirá de lineamientos adicionales.
Para seleccionar un control debe considerarse: (a) Los Requisitos Legales (RL);
(b) Las Obligaciones Contractuales (OC); (c) Los Requerimientos del Negocio / La
Adopción de Buenas Prácticas (RN/ABP); y (d) El Resultado de la Evaluación del
Riesgo (RER).
A continuación se presenta el documento “Enunciado de Aplicabilidad” de los
controles ISO 27001:2005 del SGSI planteado para el CTIC:

114
Figura 12. Enunciado de Aplicabilidad. Fuente: Autor (2010).

115
Figura 12. Continuación.

116
Figura 12. Continuación.

117
Figura 12. Continuación.

118
Figura 12. Continuación.

119
Figura 12. Continuación.

120
Figura 12. Continuación.

121
Figura 12. Continuación.

122
Figura 12. Continuación.

123
Figura 12. Continuación.

124
Figura 12. Continuación.

125
 CAPÍTULO V

CONCLUSIONES Y RECOMENDACIONES

Como producto del estudio realizado se presentan a continuación las

conclusiones y recomendaciones finales:

Conclusiones

1. Se demostró científicamente las debilidades que presenta el sistema de

información actual del CTIC en cuanto a Seguridad de la Información,
ya que obtuvo un Nivel de Madurez del 42.69% (L1: Inicial) en base al
modelo propuesto por Villafranca, D. y otros (2005).
2. Se determinó la existencia de 22 amenazas importantes, en este primer
SGSI, de las 64 detectadas en la etapa de Análisis del Riesgo.
3. Se estima reducir el riesgo hasta un nivel aceptable (por debajo de 23
puntos) al implantar los controles propuestos.
4. La adopción de una metodología sólida para la gestión del riesgo
permite descubrir los puntos vulnerables de un sistema de información y
tomar los correctivos necesarios para su tratamiento.
5. Un plan de seguridad debe involucrar a todo el personal de la
organización, desde el nivel gerencial hasta el operativo, incluyendo a
los usuarios del sistema de información.
6. La utilización de una herramienta de apoyo para el Análisis y Gestión
del Riesgo permite producir resultados comprobables y repetibles, ya
que se apoya en métricas y parámetros internacionales.

126
 7. Del estudio de factibilidad para el “Establecimiento de un Sistema de
Gestión para la Seguridad de la Información en el Centro de Tecnología
de Información y Comunicación del CTIC” se obtuvo que la propuesta
era viable operativa, técnica y económicamente.

Recomendaciones

Las recomendaciones se presentan en dos sentidos: (a) Respecto al objeto de

estudio, y (b) Respecto al área del conocimiento abordada.

Respecto al objeto de estudio

En el CTIC se deben atender las siguientes sugerencias:

1. Se deben tomar acciones correctivas inmediatas para gestionar los riesgos
que arrojaron un NPR en rojo, particularmente: (a) En relación a la
información contenida en los PCs de los usuarios del decanato; (b) En
relación a la dependencia del personal de la Sala de Operaciones; y (c)
Respecto a los soportes de respaldo para la data del Help desk del CTIC.
2. Establecer formalmente el SGSI, presentado esta propuesta a las
autoridades del decanato, consiguiendo su compromiso con este plan de
seguridad y la asignación de los recursos necesarios para la implantación
del mismo.
3. Nombrar una persona encargada de la Seguridad de la Información y
formarla en la materia a través de cursos de capacitación.
4. Involucrar y comprometer a todo el personal del CTIC en la seguridad del
mismo.
5. Implementar el plan de tratamiento del riesgo desplegando los controles
seleccionados con el fin de lograr los objetivos trazados.

127
6. Utilizar el SGSI del CTIC como prueba piloto con el objeto de ir ganando
experiencia para luego impulsarlo hacia otras unidades importantes del
decanato y la universidad.

Respecto al área de conocimiento

1. Elaborar una metodología SGSI adaptada a la “Universidad

Centroccidental Lisandro Alvarado” con un enfoque cualitativo.
2. Profundizar en el desarrollo de una herramienta AGR propia y
automatizada, que permita la gestión de incidentes y mejora de la
Seguridad de la Información.
3. Estudiar el desarrollo de la herramienta AGR con apoyo en la inteligencia
artificial y los sistemas expertos.
4. Profundizar en el estudio de métricas y técnicas aplicables para determinar
la eficacia de un SGSI en base a los controles desplegados.
5. Impulsar una cátedra de Seguridad de la Información en el programa de
Ingeniería en Informática, con el fin de que los profesionales que se
formen sean más competitivos, dominando un área del conocimiento de
gran trascendencia a nivel mundial.

128
 REFERENCIAS BIBLIOGRÁFICAS

Angeli, J. 2005. Propuesta para la aprobación en Consejo Universitario de las

Normas de Seguridad Informática y Telecomunicaciones de la Universidad
Centroccidental “Lisandro Alvarado”. Barquisimeto. Venezuela.

Ávila, H. 2006. Introducción a la metodología de la investigación. Edición

electrónica. URL: http://www.eumed.net/libros/2006c/203/203.zip. (Consulta Julio 02, 2008).

Ary, W. 1996. Metodología de la Investigación. Ediciones Roalg. Madrid. España.

Balestrini, M. 1998. Cómo se elabora el Proyecto de Investigación en Venezuela.

Ediciones Consultores Asociados, Servicio Editorial. Caracas. Venezuela.

Besarón, P. y Müller, H. 2006. Operacionalización de las variables de una hipótesis

URL: http://www.escribimos.com/operacion.htm (Consulta Febrero 12, 2009)

Bustos, E. 2001. Modelo de Gestión de la pequeña empresa mexicana bajo el

impacto de la globalización de los mercados. Trabajo de grado. Instituto Politécnico
Nacional. México.

Calderón, I. 2002. Seguridad en los Sistemas de Cómputo. URL:

http://www.lci.ulsa.mx/Material/pdf/seguridad_2002.pdf. (Consulta: mayo 03, 2008).

Cancelado, A. 2003. Sistemas de administración de riesgos. URL:

http://www.gestiopolis.com/recursos/documentos/fulldocs/ger1/sistecinfor.htm. (Consulta: mayo
03, 2008).

Castañeda, J. 1996. Métodos de Investigación 2. Editorial McGraw-Hill. México.

Cirilli, F. 2007. Implementación y Certificación de los Sistemas de Seguridad de la

Información. URL: http://www.clusit.it/download/Q05_web.pdf. (Consulta: junio 15, 2008).

Corti, M. 2006. Análisis y Automatización de la Implantación de SGSI en Empresas

Uruguayas. Trabajo de grado. Universidad de la República. Montevideo. Uruguay.

CTIC. Centro de Tecnología de Información y Comunicación del Decanato de

Ciencias y Tecnología de la Universidad Centroccidental “Lisandro Alvarado”. Home
Page. URL: http://www.ucla.edu.ve/dciencia/cc/ (Consulta: mayo 03, 2008).

Díaz, H. 2006. Técnica de Estudios II.Ilustrados.com. Perú. URL:

http://site.ebrary.com/lib/biblioelectronuclasp/Doc?id=10113728. (Consulta: julio 15, 2008).

129
ENISA. Agencia para la Seguridad de la Información de la Red Europea. URL:
http://www.enisa.europa.eu. (Consulta: abril 15, 2008).

ENTERSEC – Proyecto para el cumplimiento de la norma UNE 71502-ISO/IEC

17799. 2006. URL: http://www.oversecfactory.com/01/fedaentersec.com/sgsi.php. (Consulta:
mayo 02, 2008).

Espiñeira, Sheldon y Asociados. 2005. Seguridad de la Información: Un nuevo

enfoque para el control de riesgos de negocio. URL: http://www.pc-
news.com/detalle.asp?sid=&id=11&Ida=1926. (Consulta: mayo 01, 2008).

Guil, M. (2006). Escala Mixta Likert-Thurstone. Revista Andaluza de Ciencias

Sociales. Nº 5 – 2006.

Gutiérrez, Y. 2003. Proyecto Integral de Reacondicionamiento de Áreas, Servicios y

Seguridad del Centro de Computación como Solución al Problema de
Funcionabilidad del mismo. UCLA. Barquisimeto. Venezuela.

Hempel, C. 1952. Fundamentals of concepts formation in empirical science.

University of Chicago, United States of America.

Hernández, R.; Fernández, C. y Baptista, P. 2003. Metodología de la Investigación.

3ra. Edición. Editorial McGraw-Hill. DF-México. México.

ISO/IEC 27000:2009. 2009. International Standard. Information technology - Security

techniques - Information security management systems - Overview and vocabulary.
1st. Edition.

ISO/IEC 27001:2005. 2005. Estándar Internacional. Tecnología de la Información –

Técnicas de seguridad – Sistemas de gestión de Seguridad de la Información –
Requerimientos. 1ra. Edición.

ISO/IEC 27002:2005. 2005. Estándar Internacional. Tecnología de la Información –

Técnicas de seguridad – Código para la práctica de la gestión de la Seguridad de la
Información. 2da. Edición.

ISO27001 Security home. URL: http://www.iso27001security.com/index.html. (Consulta:

enero 15, 2009)

Kast, F. y Rosenzweig, J. 1979. Administración en las organizaciones: Un enfoque de

Sistemas. Editorial McGraw-Hill. México.

KWell - Empresa líder de Servicios de Seguridad y Gestión de Riesgos Tecnológicos

2008. URL: http://www.kwell.net/kwell/index.php?option=com_content&task=blogsection&id=
5&Itemid=78. (Consulta: mayo 02, 2008).

130
Leedy, P. 1993. Practical Research Planning and Design. 5ª. ed. Editorial McGraw-
Hill. United States of America.

Legar, M. 2006. A methodological assessment of Risk Analisys methodologies. URL:

http://www.leger.ca/pages/articles/ram_article.htm. (Consulta: abril 20, 2008).

López, A. 2008. Su portal: El Portal de ISO 27000 en español. (ISO27000.es). URL:

http://www.iso27000.es/sgsi.html. (Consulta: mayo 03, 2008).

López, F.; Amutio, M. y Candau, J. 2006. MAGERIT – versión 2. Metodología de

Análisis y Gestión de Riesgos de los Sistemas de Información. MINISTERIO DE
ADMINISTRACIONES PÚBLICAS. Madrid, 20 de junio de 2006 (v 1.1). NIPO
326-05-047-X. Catálogo general de publicaciones oficiales. URL:
http://publicaciones.administracion.es (Consulta: diciembre 04, 2008)

Martínez, R. y Rodríguez, E. 2006. Manual de Metodologías de la Investigación en

las Ciencias Médicas. URL: http://aps.sld.cu/bvs/materiales/meto-investigacion/raul.htm.
(Consulta: Julio 02, 2008).

Mujica, M. 2006. Diseño de un Plan de Seguridad Informática para la Universidad

Nacional Experimental Politécnica “Antonio José de Sucre” Sede Rectoral. Trabajo
de grado. Universidad Centroccidental “Lisandro Alvarado”. Barquisimeto.
Venezuela.

Muñiz, J. 1996. Psicometría. Editorial Universitaria. Madrid. España.

Senn, J. 1987. Análisis y diseño de Sistemas de Información. Ediciones McGraw-Hill.

México.

Sorberamurina, V. 2007. Sistemas De Información: Concepto Y Aplicaciones.

Editium.org. URL: http://www.editum.org/sistemasdeinformacinconceptoyaplicaciones-p-128.html
(Consulta: mayo 06, 2008).

Soto, L. 2007. Sistemas de Información. URL:

http://www.mitecnologico.com/Main/ConceptoSistemaInformacion. (Consulta: mayo 20, 2008).

Tersek, Y. 2007. Sistema de Gestión de la Seguridad de la Información para un

Sistema de Información. Trabajo de grado. Universidad Centroccidental “Lisandro
Alvarado”. Barquisimeto. Venezuela.

UNE. 2008. Universidad de Nueva Esparta. Estructura de un Proyecto. URL:

http://www.une.edu.ve/postgrado/intranet/investigacion_virtual/estructura_proyecto.htm#PORTADA.
(Consulta: julio 15, 2008).

131
Universidad Centroccidental “Lisandro Alvarado”. Las Normas de Seguridad
Informática y de Telecomunicaciones UCLA. 2005. Sesión Ordinaria Nº 1647. URL:
http://www.ucla.edu.ve/telecom/NORMAS_de_seguridad_INF_y_de_telecomunicaciones_UCLA.pdf.
(Consulta: abril 28, 2008).

Villafranca, D.; Sánchez, L.; Fernández, E. y Piattini, M. 2005. Hacia un Modelo de

Gestión de la Seguridad de la Información para las PYME con la ISO/IEC 17799.
URL: http://cibsi05.inf.utfsm.cl/presentaciones/sesion10/Modelo_de_gestion_de_seguridad.pdf
(Consulta febrero 16, 2009).

132
ANEXOS

133
Anexo “A”. Currículum Vitae del Autor
DATOS PERSONALES:

Nombre y Apellido: Rosendo Arturo Mendoza Prado C.I: 7.417.389

Teléfonos: 0414-3511249. Correo electrónico: [email protected]

DATOS ACADÉMICOS:
Pregrado:

Institución: Universidad Centroccidental "Lisandro Alvarado".

Lugar: Barquisimeto, Estado Lara.

Título recibido: Ingeniero en Informática. Año de Graduación: 1992.
Postgrado:

Diplomado en Docencia Universitaria. Julio 2009. DFPA - Universidad
Centroccidental "Lisandro Alvarado". Duración: 168 Horas.

CARGO ACTUAL:

Personal Docente y de Investigación (Obtenido por concurso).

Categoría: Instructor. Dedicación: Tiempo Completo.

Lugar: DCyT. - Universidad Centroccidental Lisandro Alvarado.

Tiempo en docencia: 2 años y 4 meses.

CÁTEDRAS DICTADAS:

Introducción a la Computación – Programa: Ingeniería en Informática.

Introducción a la Computación – Programa: Análisis de Sistemas.

Laboratorio de Redes - Programa: Ingeniería en Informática.

CURSOS Y TALLERES REALIZADOS:

Lenguajes de Alto Nivel. Noviembre 2005. Coordinación de Postgrado -
Decanato de Ciencias y Tecnología - UCLA. Duración: 24 Horas.

Fundamentos de la Tecnología de Redes. Noviembre 2005. Coordinación de
Postgrado - Decanato de Ciencias y Tecnología - UCLA. Duración: 24 Horas.

Instaling and configuring Microsoft Windows NT SERVER 4.0. Noviembre
1998. Technical Education Center. Duración: 8 Horas.

Overview of Microsoft Exchange Server 5.5. Noviembre 1998. Technical
Education Center. Duración: 8 Horas.

Preinstalación de Windows 95 y Windows NTW 4.0. Febrero 1998. Microsoft
OEM. Duración: 8 Horas.

System RM600 System Maintenance. Octubre 1993. Siemens Nixdorf
Duración: 32 Horas.

Introducción al Sistema Operativo Unix. Octubre 1993. Unixsupport C.A.
Duración: 16 Horas.

Usos Básicos de los comandos Unix. Octubre 1993. Unixsupport C.A.
Duración: 20 Horas.

134
Anexo “B”. Cláusulas, Objetivos de Control y Controles.

135
136
Anexo “C”. Cuestionario 01.

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO

DECANATO DE CIENCIAS Y TECNOLOGÍA
COORDINACIÓN DE POSTGRADO - DCyT

Ante todo reciba un cordial saludo. Anexo a este comunicado encontrará una
encuesta que le invitamos a llenar.
Esta encuesta tiene como objetivo fundamental determinar el estado actual del
Sistema de Seguridad de la Información del “Centro de Tecnología de
Información y Comunicación” (CTIC) del DCyT.
Este instrumento, con su ayuda, aportará información importante para mejorar
los servicios que se prestan, optimizar el uso de los recursos con que cuenta el centro
y, finalmente, establecer y mejorar las políticas de Seguridad del Centro de
Computación. No le tomará mucho tiempo responderla.
Se le agradece su valiosa Colaboración.

Instrucciones:
1. Lea cuidadosamente cada uno de los enunciados.
2. Por cada enunciado se proporcionan 5 alternativas que le permitirán indicar
(valorar) el grado de cumplimiento del enunciado dentro del CTIC. Si usted
considera que el enunciado propuesto se cumple en su totalidad dentro del
CTIC seleccione TDA. Por el contrario, si considera que no se cumple en lo
absoluto seleccione TED. También se proponen opciones intermedias.
3. Las alternativas posibles son:
Totalmente de acuerdo (TDA)
De acuerdo (DA)
Neutral (Afirmación) (NEU)
En desacuerdo (ED)
Totalmente en desacuerdo (TED)
4. Seleccione una única alternativa por cada enunciado propuesto que, según su
criterio, se adecue más a la realidad.
5. Para seleccionar una alternativa marque con una equis (X) la opción que
considere correcta.
6. Todos los enunciados deben ser valorados.

“El Funcionamiento y la Seguridad del CTIC es responsabilidad de Todos”

137
 SISTEMA DE GESTIÓN PARA SEGURIDAD DE LA INFORMACIÓN
CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN
DEL DECANATO DE CIENCIAS Y TECNOLOGÍA (CTIC)

Totalmente De Totalmente En
De Acuerdo Neutral En Desacuerdo
Acuerdo Desacuerdo

TDA DA NEU ED TED

ÍTEMS TDA DA NEU ED TED

1. En el CTIC, los equipos de computación

(Computadora, monitor, impresora y otros) se
encuentran debidamente identificados con el nombre
de la Universidad, del CTIC y el serial de bienes
nacionales.

2. Los equipos informáticos, de comunicación,

documentos y sistemas de gestión necesarios para
llevar a cabo las funciones dentro del CTIC se
encuentran debidamente asignados y clasificados de
acuerdo a su importancia.

3. Existe un manual de funciones que indica como

debe llevarse a cabo las actividades dentro del CTIC,
incluyendo la forma adecuada de utilizar la
información, los documentos y demás equipos
asociados.

4. La información (en formato físico o electrónico) que

se maneja y produce dentro del CTIC se clasifica de
acuerdo a criterios de confidencialidad, integridad y
disponibilidad.

5. Las personas que acceden al CTIC se encuentran

debidamente identificadas, ya sea a través del carnet
de la universidad o de un pase de visitante.

6. Existen los mecanismos de control necesarios para

llevar un registro (bitácora) del lugar, hora de entrada y
salida, y actividad desarrollada por cada persona que
accede al CTIC.

7. Existen mecanismos apropiados para evitar

situaciones de desastre, tales como incendios,
inundación, con los medios de respaldo necesarios
ubicados en lugares seguros.

8. Existen Normas de Contingencia que indican el

procedimiento a seguir en situaciones de desastre.

138
 SISTEMA DE GESTIÓN PARA SEGURIDAD DE LA INFORMACIÓN
CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN
DEL DECANATO DE CIENCIAS Y TECNOLOGÍA (CTIC)

Totalmente De Totalmente En
De Acuerdo Neutral En Desacuerdo
Acuerdo Desacuerdo

TDA DA NEU ED TED

ÍTEMS TDA DA NEU ED TED

9. Las áreas de acceso restringido del CTIC están

debidamente identificadas.

10. Las áreas clasificadas como restringidas, sólo son

utilizadas por el personal autorizado.

11. Los equipos informáticos del CTIC se encuentran

en lugares adecuados para evitar su uso por parte de
personas no autorizadas.

12. Los equipos informáticos del CTIC cuentan con

mecanismos de protección contra fallas eléctricas.

13. El cableado eléctrico y de telecomunicaciones del

CTIC se encuentra debidamente asegurado a través
de ductos internos, lo que evita su intercepción o daño.

14. Los equipos informáticos del CTIC cuentan con un

plan de mantenimiento preventivo lo que permite su
funcionamiento adecuado.

15. Cada usuario del CTIC posee un identificador

único con clave privada para acceder a los sistemas
informáticos.

16. La clave de acceso de cada usuario del CTIC es

cambiada periódicamente, de acuerdo a políticas y
normativas claras.

17. El CTIC tiene un manual de procedimiento que

indica las acciones a seguir cuando se detecta un
incidente de seguridad.

18. Cuando se reporta un incidente de seguridad en el

CTIC, se obtiene una respuesta rápida y apropiada por
parte del personal encargado de la seguridad.

139
Anexo “D”. Cuestionario 02
UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO
DECANATO DE CIENCIAS Y TECNOLOGÍA
COORDINACIÓN DE POSTGRADO - DCyT

Ante todo reciba un cordial saludo. Anexo a este comunicado encontrará una
encuesta que le invitamos a llenar.
Esta encuesta tiene como objetivo fundamental determinar el estado actual del
Sistema de Seguridad de la Información del “Centro de Tecnología de
Información y Comunicación” (CTIC) del DCyT.
Este instrumento, con su ayuda, aportará información importante para mejorar
los servicios que se prestan, optimizar el uso de los recursos con que cuenta el centro
y, finalmente, establecer y mejorar las políticas de Seguridad del Centro de
Computación. No le tomará mucho tiempo responderla.
Se le agradece su valiosa Colaboración.

Instrucciones:
1. Lea cuidadosamente cada uno de los enunciados.
2. Por cada enunciado se proporcionan 5 alternativas que le permitirán indicar
(valorar) el grado de cumplimiento del enunciado dentro del CTIC. Si usted
considera que el enunciado propuesto se cumple en su totalidad dentro del
CTIC seleccione TDA. Por el contrario, si considera que no se cumple en lo
absoluto seleccione TED. También se proponen opciones intermedias.
3. Las alternativas posibles son:
Totalmente de acuerdo (TDA)
De acuerdo (DA)
Neutral (Afirmación) (NEU)
En desacuerdo (ED)
Totalmente en desacuerdo (TED)
4. Seleccione una única alternativa por cada enunciado propuesto que, según su
criterio, se adecue más a la realidad.
5. Para seleccionar una alternativa marque con una equis (X) la opción que
considere correcta.
6. Todos los enunciados deben ser valorados.

“El Funcionamiento y la Seguridad del CTIC es responsabilidad de Todos”

140
 SISTEMA DE GESTIÓN PARA SEGURIDAD DE LA INFORMACIÓN
CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN
DEL DECANATO DE CIENCIAS Y TECNOLOGÍA (CTIC)

Totalmente De Totalmente En
De Acuerdo Neutral En Desacuerdo
Acuerdo Desacuerdo

TDA DA NEU ED TED

ÍTEMS TDA DA NEU ED TED

19. Los usuarios de los sistemas informáticos del CTIC

son gestionados a través de políticas de control de
acceso claras y escritas.

20. Existe un procedimiento formal para el registro y

des-registro de usuarios con el fin de otorgar y revocar
el acceso a los sistemas y servicios de información.

21. Se restringe y controla la asignación y uso de

privilegios para la utilización de los sistemas con que
cuenta el CTIC.

22. La asignación y mantenimiento de las claves

secretas se controla a través de un proceso de gestión
formal que garantiza la solidez de la clave.

23. Los usuarios sólo tienen acceso a los servicios

para los cuales han sido específicamente autorizados.

24. En el CTIC, cuando un equipo se conecta a la red

interna, éste se identifica automáticamente y el punto
físico desde donde se establece el enlace se registra
adecuadamente.

25. Se controla el acceso (físico o lógico) a los puertos

de diagnóstico y configuración del los equipos de
comunicación que forman parte de la red interna del
CTIC.

26. En el CTIC existen políticas claras de seguridad

para segregar (agrupar) en redes (VLAN) a los
Sistemas de Información y sus posibles usuarios.

141
 SISTEMA DE GESTIÓN PARA SEGURIDAD DE LA INFORMACIÓN
CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN
DEL DECANATO DE CIENCIAS Y TECNOLOGÍA (CTIC)

Totalmente De Totalmente En
De Acuerdo Neutral En Desacuerdo
Acuerdo Desacuerdo

TDA DA NEU ED TED

ÍTEMS TDA DA NEU ED TED

27. Los derechos de acceso de los usuarios se

gestionan y actualizan conforme a los requerimientos
de la política de control de acceso del CTIC.

28. En el CTIC existen mecanismos de control de

routing para las conexiones remotas.

29. En el CTIC se tiene un procedimiento formal para

registrarse en el sistema operativo, con el fin de
minimizar la oportunidad de acceso no autorizado.

30. En el CTIC se restringe y controla adecuadamente

el uso de los programas de utilidad que podrían ser
capaces de superar los controles de seguridad del
sistema informático.

31. Las sesiones inactivas dentro de la red del CTIC

se cierran después de un período de inactividad
definido.

32. Se restringe el tiempo de conexión dentro de la red

del CTIC para proporcionar seguridad adicional a las
aplicaciones de alto riesgo.

33. En el CTIC, los sistemas confidenciales tienen un

ambiente de cómputo dedicado (aislado) a través de
métodos físicos y lógicos.

34. Existen mecanismos que permiten cuantificar y

monitorear los tipos, cantidades y costos de los
incidentes en la Seguridad de la Información que se
suceden en el CTIC.

142
Anexo “E”. Entrevista.

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO

DECANATO DE CIENCIAS Y TECNOLOGÍA
COORDINACIÓN DE POSTGRADO - DCyT

Ante todo reciba un cordial saludo. Anexo a este comunicado encontrará una
encuesta que le invitamos a llenar.
Esta encuesta tiene como objetivo fundamental determinar el estado actual del
Sistema de Seguridad de la Información del “Centro de Tecnología de
Información y Comunicación” (CTIC) del DCyT.
Este instrumento, con su ayuda, aportará información importante para mejorar
los servicios que se prestan, optimizar el uso de los recursos con que cuenta el centro
y, finalmente, establecer y mejorar las políticas de Seguridad del Centro de
Computación. No le tomará mucho tiempo responderla.
Se le agradece su valiosa Colaboración.

Instrucciones:
1. Lea cuidadosamente cada uno de los enunciados.
2. Por cada enunciado se proporcionan 5 alternativas que le permitirán indicar
(valorar) el grado de cumplimiento del enunciado dentro del CTIC. Si usted
considera que el enunciado propuesto se cumple en su totalidad dentro del
CTIC seleccione TDA. Por el contrario, si considera que no se cumple en lo
absoluto seleccione TED. También se proponen opciones intermedias.
3. Las alternativas posibles son:
Totalmente de acuerdo (TDA)
De acuerdo (DA)
Neutral (Afirmación) (NEU)
En desacuerdo (ED)
Totalmente en desacuerdo (TED)
4. Seleccione una única alternativa por cada enunciado propuesto que, según su
criterio, se adecue más a la realidad.
5. Para seleccionar una alternativa marque con una equis (X) la opción que
considere correcta.
6. Todos los enunciados deben ser valorados.

“El Funcionamiento y la Seguridad del CTIC es responsabilidad de Todos”

143
 SISTEMA DE GESTIÓN PARA SEGURIDAD DE LA INFORMACIÓN
CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN
DEL DECANATO DE CIENCIAS Y TECNOLOGÍA (CTIC)

Totalmente De Totalmente En
De Acuerdo Neutral En Desacuerdo
Acuerdo Desacuerdo

TDA DA NEU ED TED

ÍTEMS TDA DA NEU ED TED

35. El documento de “La Política de Seguridad de la

Información” del CTIC está aprobado por el Consejo
del Decanato y es de conocimiento de todos los
empleados.
36. La Política de Seguridad de la Información es
revisada periódicamente y se ajusta de acuerdo a las
nuevas necesidades del CTIC.
37. Los roles y responsabilidades específicos para la
Seguridad de la Información se encuentran asignados
al personal pertinente del CTIC.
38. Las actividades de Seguridad de la Información se
ejecutan de acuerdo con la Política de la Seguridad de
la información.
39. Se identifican y revisan periódicamente los
requerimientos de confidencialidad, de acuerdo a las
necesidades del CTIC.
40. Periódicamente se revisa la Seguridad de la
Información por personal independiente al CTIC.
41. Están identificados los requerimientos de
seguridad para proporcionar acceso a los usuarios
(distintos al personal interno) de los equipos e
instalaciones del CTIC.
42. Los roles y responsabilidades de los empleados
del CTIC se encuentran definidos y documentados.
43. Antes de contratar un empleado, se verifican sus
antecedentes.
44. Al contratar nuevo personal, se le hace firmar un
contrato que especifique sus responsabilidades con
respecto a la Seguridad de la Información.
45. Todos los empleados del CTIC reciben una
capacitación adecuada en relación a la Seguridad de
la Información.

144
Anexo “F”. Formato para validación de Encuesta.

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO

DECANATO DE CIENCIAS Y TECNOLOGÍA
COORDINACIÓN DE POSTGRADO - DCyT

Señor(a):
Prof.
_______________________________

Ciudad.

Por medio de la presente, me dirijo a Usted, como experto en el área, para

participarle, que ha sido seleccionado (a) para validar el instrumento a ser utilizado en
el estudio de investigación “SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE
LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN
Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA -
UCLA”.

Este estudio se hace para dar cumplimiento al requisito de grado de la Maestría

“Ciencias de Computación – Mención Redes de Computadoras”. Para ello se anexa
un cuadro con la operacionalización de las variables de estudio, el instrumento de
recolección de datos y el formato para la revisión y validación del instrumento.

Esta investigación entra en la modalidad de “Proyecto Factible, apoyado en la

Investigación Monográfica documental y de campo”.

Sin más a que hacer referencia y agradeciendo su mayor colaboración al

respecto,

Atentamente

Rosendo Mendoza

145
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
En el CTIC, los equipos de computación
(Computadora, monitor, impresora y otros) se
1 encuentran debidamente identificados con el
nombre de la Universidad, del CTIC y serial
de bienes nacionales.

Los equipos informáticos, de comunicación,

documentos y sistemas de gestión
necesarios para llevar a cabo las funciones
2 dentro del CTIC se encuentran debidamente
asignados y clasificados de acuerdo a su
importancia.

Existe un manual de funciones que indica

como debe llevarse a cabo las actividades
3 dentro del CTIC, incluyendo la forma
adecuada de utilizar la información, los
documentos y demás equipos asociados.

La información (en formato físico o

electrónico) que se maneja y produce dentro
4 del CTIC se clasifica de acuerdo a criterios
de confidencialidad, integridad y
disponibilidad.

Las personas que acceden al CTIC se

encuentran debidamente identificadas, ya
5 sea a través del carnet de la universidad o de
un pase de visitante.

146
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
Existen los mecanismos de control
necesarios para llevar un registro (bitácora)
6 del lugar, hora de entrada y salida, y
actividad desarrollada por cada persona que
accede al CTIC.

Existen mecanismos apropiados para evitar

situaciones de desastre, tales como
7 incendios, inundación, con los medios de
respaldo necesarios ubicados en lugares
seguros.

Existen Normas de Contingencia que indican

8 el procedimiento a seguir en situaciones de
desastre.

Las áreas de acceso restringido del CTIC

9 están debidamente identificadas.

Las áreas clasificadas como restringidas,

10 sólo son utilizadas por el personal
autorizado.

Los equipos informáticos del CTIC se

11 encuentran en lugares adecuados para evitar
su uso por parte de personas no autorizadas.

Los equipos informáticos del CTIC cuentan

con mecanismos de protección contra fallas
12 eléctricas.

147
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
El cableado eléctrico y de
telecomunicaciones del CTIC se encuentra
13 debidamente asegurado a través de ductos
internos, lo que evita su intercepción o daño.

Los equipos informáticos del CTIC cuentan

14 con un plan de mantenimiento preventivo lo
que permite su funcionamiento adecuado.

Cada usuario del CTIC posee un identificador

15 único con clave privada para acceder a los
sistemas informáticos.

La clave de acceso de cada usuario del CTIC

16 es cambiada periódicamente, de acuerdo a
políticas y normativas claras.

El CTIC tiene un manual de procedimiento

17 que indica las acciones a seguir cuando se
detecta un incidente de seguridad.

Cuando se reporta un incidente de seguridad

en el CTIC, se obtiene una respuesta rápida
18 y apropiada por parte del personal encargado
de la seguridad.

Los usuarios de los sistemas informáticos del

19 CTIC son gestionados a través de políticas
de control de acceso claras y escritas.

Existe un procedimiento formal para el

20 registro y des-registro de usuarios con el fin

148
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
de otorgar y revocar el acceso a los sistemas
y servicios de información.

Se restringe y controla la asignación y uso de

21 privilegios para la utilización de los sistemas
con que cuenta el CTIC.

La asignación y mantenimiento de las claves

secretas se controla a través de un proceso
22 de gestión formal que garantiza la solidez de
la clave.

Los usuarios sólo tienen acceso a los

23 servicios para los cuales han sido
específicamente autorizados.

En el CTIC, cuando un equipo se conecta a

la red interna, éste se identifica
24 automáticamente y el punto físico desde
donde se establece el enlace se registra
adecuadamente.

Se controla el acceso (físico o lógico) a los

puertos de diagnóstico y configuración del los
25 equipos de comunicación que forman parte
de la red interna del CTIC.

En el CTIC existen políticas claras de

seguridad para segregar (agrupar) en redes
26 (VLAN) a los Sistemas de Información y sus
posibles usuarios.

149
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
Los derechos de acceso de los usuarios se
gestionan y actualizan conforme a los
27 requerimientos de la política de control de
acceso del CTIC.

En el CTIC existen mecanismos de control

28 de routing para las conexiones remotas.

En el CTIC se tiene un procedimiento formal

para registrarse en el sistema operativo, con
29 el fin de minimizar la oportunidad de acceso
no autorizado.

En el CTIC se restringe y controla

adecuadamente el uso de los programas de
30 utilidad que podrían ser capaces de superar
los controles de seguridad del sistema
informático.

Las sesiones inactivas dentro de la red del

31 CTIC se cierran después de un período de
inactividad definido.

Se restringe el tiempo de conexión dentro de

32 la red del CTIC para proporcionar seguridad
adicional a las aplicaciones de alto riesgo.

En el CTIC, los sistemas confidenciales

tienen un ambiente de cómputo dedicado
33 (aislado) a través de métodos físicos y
lógicos.

150
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
Existen mecanismos que permiten cuantificar
y monitorear los tipos, cantidades y costos de
34 los incidentes en la Seguridad de la
Información que se suceden en el CTIC.

El documento de “La Política de Seguridad

de la Información” del CTIC está aprobado
35 por el Consejo del Decanato y es de
conocimiento de todos los empleados.

La Política de Seguridad de la Información es

revisada periódicamente y se ajusta de
36 acuerdo a las nuevas necesidades del CTIC.

Los roles y responsabilidades específicos

para la Seguridad de la Información se
37 encuentran asignados al personal pertinente
del CTIC.

Las actividades de Seguridad de la

Información se ejecutan de acuerdo con la
38 Política de la Seguridad de la información.

Se identifican y revisan periódicamente los

requerimientos de confidencialidad, de
39 acuerdo a las necesidades del CTIC.

151
 Claridad Congruencia Redacción
Ítem Enunciado Observaciones
Si No Si No Si No
Periódicamente se revisa la Seguridad de la
Información por personal independiente al
40 CTIC.

Están identificados los requerimientos de

seguridad para proporcionar acceso a los
41 usuarios (distintos al personal interno) de los
equipos e instalaciones del CTIC.

Los roles y responsabilidades de los

42 empleados del CTIC se encuentran definidos
y documentados.

Antes de contratar un empleado, se verifican

43 sus antecedentes.

Al contratar nuevo personal, se le hace firmar

un contrato que especifique sus
44 responsabilidades con respecto a la
Seguridad de la Información.

Todos los empleados del CTIC reciben una

45 capacitación adecuada en relación a la
Seguridad de la Información.

152
Anexo “G”. Índice Alpha de Cronbach – Cuestionario 01

Cuestionario 01. Reporte de Análisis de Ítems.

Standard Total Total Coef Corr

Variable Mean Deviation Mean Std.Dev. Alpha Total
Item_01 4 1,632993 53,9 8,924996 0,8264 0,2135
Item_02 2,5 0,9718253 55,4 9,118967 0,8143 0,2508
Item_03 4,2 1,032796 53,7 9,006787 0,8097 0,3416
Item_04 3,1 1,286684 54,8 8,175845 0,7651 0,9527
Item_05 2,8 1,229273 55,1 9,45692 0,8385 -0,1032
Item_06 3,5 1,178511 54,4 8,809086 0,8027 0,4602
Item_07 3,6 1,173788 54,3 8,64163 0,7923 0,6156
Item_08 4,3 0,6749486 53,6 9,287985 0,8173 0,1453
Item_09 2,4 1,074968 55,5 9,228579 0,8228 0,1120
Item_10 2,7 1,05935 55,2 8,941787 0,8068 0,3941
Item_11 1,8 0,6324555 56,1 9,134185 0,8082 0,4077
Item_12 2,5 0,8498366 55,4 9,008637 0,8053 0,4354
Item_13 2,4 0,8432741 55,5 8,897565 0,7987 0,5775
Item_14 3 1,154701 54,9 8,543353 0,7854 0,7208
Item_15 3,1 1,197219 54,8 8,791409 0,8022 0,4666
Item_16 3,5 0,9718253 54,4 8,656404 0,7871 0,7528
Item_17 4,4 0,6992059 53,5 9,228579 0,8145 0,2239
Item_18 4,1 0,9944289 53,8 8,891944 0,8021 0,4800

Total 57,9 9,409805 0,8153

Cronbach's Alpha 0,815277 Std. Cronbachs Alpha 0,820141

Count Distribution Section

Variable 1 2 3 4 5
Item_01 2 0 0 2 6
Item_02 1 5 2 2 0
Item_03 0 1 1 3 5
Item_04 1 2 4 1 2
Item_05 1 4 2 2 1
Item_06 0 3 1 4 2
Item_07 0 2 3 2 3
Item_08 0 0 1 5 4
Item_09 2 4 2 2 0
Item_10 1 4 2 3 0
Item_11 3 6 1 0 0
Item_12 1 4 4 1 0
Item_13 1 5 3 1 0
Item_14 1 2 4 2 1
Item_15 1 2 3 3 1
Item_16 0 1 5 2 2
Item_17 0 0 1 4 5
Item_18 0 1 1 4 4

Total 15 46 40 43 36

153
Percentage Distribution Section
Variable 1 2 3 4 5
Item_01 20,00 0,00 0,00 20,00 60,00
Item_02 10,00 50,00 20,00 20,00 0,00
Item_03 0,00 10,00 10,00 30,00 50,00
Item_04 10,00 20,00 40,00 10,00 20,00
Item_05 10,00 40,00 20,00 20,00 10,00
Item_06 0,00 30,00 10,00 40,00 20,00
Item_07 0,00 20,00 30,00 20,00 30,00
Item_08 0,00 0,00 10,00 50,00 40,00
Item_09 20,00 40,00 20,00 20,00 0,00
Item_10 10,00 40,00 20,00 30,00 0,00
Item_11 30,00 60,00 10,00 0,00 0,00
Item_12 10,00 40,00 40,00 10,00 0,00
Item_13 10,00 50,00 30,00 10,00 0,00
Item_14 10,00 20,00 40,00 20,00 10,00
Item_15 10,00 20,00 30,00 30,00 10,00
Item_16 0,00 10,00 50,00 20,00 20,00
Item_17 0,00 0,00 10,00 40,00 50,00
Item_18 0,00 10,00 10,00 40,00 40,00

Total 8,33 25,56 22,22 23,89 20,00

Item Detail Section for Item_01

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 2 20,00 20,00 |IIIIIIIIIIIII
2 0 0,00 20,00 |
3 0 0,00 20,00 |
4 2 20,00 40,00 |IIIIIIIIIIIII
5 6 60,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Total 10

Item Detail Section for Item_02

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 5 50,00 60,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
3 2 20,00 80,00 |IIIIIIIIIIIII
4 2 20,00 100,00 |IIIIIIIIIIIII
5 0 0,00 100,00 |
Total 10

Item Detail Section for Item_03

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 10,00 10,00 |IIIIIII
3 1 10,00 20,00 |IIIIIII
4 3 30,00 50,00 |IIIIIIIIIIIIIIIIIIII
5 5 50,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Total 10

154
Item Detail Section for Item_04
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 2 20,00 30,00 |IIIIIIIIIIIII
3 4 40,00 70,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
4 1 10,00 80,00 |IIIIIII
5 2 20,00 100,00 |IIIIIIIIIIIII
Total 10

Item Detail Section for Item_05

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 4 40,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
3 2 20,00 70,00 |IIIIIIIIIIIII
4 2 20,00 90,00 |IIIIIIIIIIIII
5 1 10,00 100,00 |IIIIIII
Total 10

Item Detail Section for Item_06

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 3 30,00 30,00 |IIIIIIIIIIIIIIIIIIII
3 1 10,00 40,00 |IIIIIII
4 4 40,00 80,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
5 2 20,00 100,00 |IIIIIIIIIIIII
Total 10

Item Detail Section for Item_07

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 2 20,00 20,00 |IIIIIIIIIIIII
3 3 30,00 50,00 |IIIIIIIIIIIIIIIIIIII
4 2 20,00 70,00 |IIIIIIIIIIIII
5 3 30,00 100,00 |IIIIIIIIIIIIIIIIIIII
Total 10

Item Detail Section for Item_08

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 1 10,00 10,00 |IIIIIII
4 5 50,00 60,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
5 4 40,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
Total 10

155
Item Detail Section for Item_09
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 2 20,00 20,00 |IIIIIIIIIIIII
2 4 40,00 60,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
3 2 20,00 80,00 |IIIIIIIIIIIII
4 2 20,00 100,00 |IIIIIIIIIIIII
5 0 0,00 100,00 |
Total 10

Item Detail Section for Item_10

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 4 40,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
3 2 20,00 70,00 |IIIIIIIIIIIII
4 3 30,00 100,00 |IIIIIIIIIIIIIIIIIIII
5 0 0,00 100,00 |
Total 10

Item Detail Section for Item_11

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 3 30,00 30,00 |IIIIIIIIIIIIIIIIIIII
2 6 60,00 90,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
3 1 10,00 100,00 |IIIIIII
4 0 0,00 100,00 |
5 0 0,00 100,00 |
Total 10

Item Detail Section for Item_12

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 4 40,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
3 4 40,00 90,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
4 1 10,00 100,00 |IIIIIII
5 0 0,00 100,00 |
Total 10

Item Detail Section for Item_13

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 5 50,00 60,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
3 3 30,00 90,00 |IIIIIIIIIIIIIIIIIIII
4 1 10,00 100,00 |IIIIIII
5 0 0,00 100,00 |
Total 10

156
Item Detail Section for Item_14
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 2 20,00 30,00 |IIIIIIIIIIIII
3 4 40,00 70,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
4 2 20,00 90,00 |IIIIIIIIIIIII
5 1 10,00 100,00 |IIIIIII
Total 10

Item Detail Section for Item_15

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 10,00 10,00 |IIIIIII
2 2 20,00 30,00 |IIIIIIIIIIIII
3 3 30,00 60,00 |IIIIIIIIIIIIIIIIIIII
4 3 30,00 90,00 |IIIIIIIIIIIIIIIIIIII
5 1 10,00 100,00 |IIIIIII
Total 10

Item Detail Section for Item_16

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 10,00 10,00 |IIIIIII
3 5 50,00 60,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
4 2 20,00 80,00 |IIIIIIIIIIIII
5 2 20,00 100,00 |IIIIIIIIIIIII
Total 10

Item Detail Section for Item_17

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 1 10,00 10,00 |IIIIIII
4 4 40,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
5 5 50,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
Total 10

Item Detail Section for Item_18

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 10,00 10,00 |IIIIIII
3 1 10,00 20,00 |IIIIIII
4 4 40,00 60,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
5 4 40,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIII
Total 10

157
Anexo “H”. Índice Alpha de Cronbach – Cuestionario 02

Cuestionario 02. Reporte de Análisis de Ítems.

Standard Total Total Coef Corr
Variable Mean Deviation Mean Std.Dev. Alpha Total
Item_19 3,666667 1,032796 41,16667 8,109665 0,7950 0,6766
Item_20 3,5 1,224745 41,33333 8,286535 0,8135 0,3941
Item_21 2,166667 1,169045 42,66667 7,916228 0,7865 0,7636
Item_22 3,833333 1,169045 41 8,3666 0,8163 0,3476
Item_23 1,833333 0,9831921 43 8,173126 0,7977 0,6471
Item_24 2,333333 1,505545 42,5 8,408329 0,8325 0,2054
Item_25 1,833333 0,9831921 43 8,173126 0,7977 0,6471
Item_26 2,166667 0,7527726 42,66667 8,115829 0,7873 0,9603
Item_27 2,5 1,048809 42,33333 8,453796 0,8176 0,3158
Item_28 2,333333 1,21106 42,5 8,666025 0,8351 0,0762
Item_29 3 1,095445 41,83333 8,183316 0,8021 0,5578
Item_30 2,666667 1,032796 42,16667 8,183316 0,8000 0,5995
Item_31 3,166667 1,169045 41,66667 8,824209 0,8421 -0,0517
Item_32 3,5 0,5477226 41,33333 8,664103 0,8183 0,2950
Item_33 2,333333 0,8164966 42,5 8,408329 0,8082 0,4952
Item_34 4 0,8944272 40,83333 8,424171 0,8112 0,4247

Total 44,83333 8,841191 0,8206

Cronbach's Alpha 0,820583 Std. Cronbachs Alpha 0,842961

Count Distribution Section

Variable 1 2 3 4 5
Item_19 0 1 1 3 1
Item_20 0 2 0 3 1
Item_21 2 2 1 1 0
Item_22 0 1 1 2 2
Item_23 3 1 2 0 0
Item_24 2 2 1 0 1
Item_25 3 1 2 0 0
Item_26 1 3 2 0 0
Item_27 1 2 2 1 0
Item_28 2 1 2 1 0
Item_29 1 0 3 2 0
Item_30 1 1 3 1 0
Item_31 1 0 2 3 0
Item_32 0 0 3 3 0
Item_33 0 5 0 1 0
Item_34 0 0 2 2 2
Total 17 22 27 23 7

158
Percentage Distribution Section
Variable 1 2 3 4 5
Item_19 0,00 16,67 16,67 50,00 16,67
Item_20 0,00 33,33 0,00 50,00 16,67
Item_21 33,33 33,33 16,67 16,67 0,00
Item_22 0,00 16,67 16,67 33,33 33,33
Item_23 50,00 16,67 33,33 0,00 0,00
Item_24 33,33 33,33 16,67 0,00 16,67
Item_25 50,00 16,67 33,33 0,00 0,00
Item_26 16,67 50,00 33,33 0,00 0,00
Item_27 16,67 33,33 33,33 16,67 0,00
Item_28 33,33 16,67 33,33 16,67 0,00
Item_29 16,67 0,00 50,00 33,33 0,00
Item_30 16,67 16,67 50,00 16,67 0,00
Item_31 16,67 0,00 33,33 50,00 0,00
Item_32 0,00 0,00 50,00 50,00 0,00
Item_33 0,00 83,33 0,00 16,67 0,00
Item_34 0,00 0,00 33,33 33,33 33,33
Total 17,71 22,92 28,13 23,96 7,29

Item Detail Section for Item_19

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 16,67 16,67 |IIIIIIIIIII
3 1 16,67 33,33 |IIIIIIIIIII
4 3 50,00 83,33 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
5 1 16,67 100,00 |IIIIIIIIIII
Total 6

Item Detail Section for Item_20

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 2 33,33 33,33 |IIIIIIIIIIIIIIIIIIIIII
3 0 0,00 33,33 |
4 3 50,00 83,33 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
5 1 16,67 100,00 |IIIIIIIIIII
Total 6

Item Detail Section for Item_21

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 2 33,33 33,33 |IIIIIIIIIIIIIIIIIIIIII
2 2 33,33 66,67 |IIIIIIIIIIIIIIIIIIIIII
3 1 16,67 83,33 |IIIIIIIIIII
4 1 16,67 100,00 |IIIIIIIIIII
5 0 0,00 100,00 |
Total 6

159
Item Detail Section for Item_22
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 16,67 16,67 |IIIIIIIIIII
3 1 16,67 33,33 |IIIIIIIIIII
4 2 33,33 66,67 |IIIIIIIIIIIIIIIIIIIIII
5 2 33,33 100,00 |IIIIIIIIIIIIIIIIIIIIII
Total 6

Item Detail Section for Item_23

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 3 50,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
2 1 16,67 66,67 |IIIIIIIIIII
3 2 33,33 100,00 |IIIIIIIIIIIIIIIIIIIIII
4 0 0,00 100,00 |
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_24

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 2 33,33 33,33 |IIIIIIIIIIIIIIIIIIIIII
2 2 33,33 66,67 |IIIIIIIIIIIIIIIIIIIIII
3 1 16,67 83,33 |IIIIIIIIIII
4 0 0,00 83,33 |
5 1 16,67 100,00 |IIIIIIIIIII
Total 6

Item Detail Section for Item_25

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 3 50,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
2 1 16,67 66,67 |IIIIIIIIIII
3 2 33,33 100,00 |IIIIIIIIIIIIIIIIIIIIII
4 0 0,00 100,00 |
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_26

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 16,67 16,67 |IIIIIIIIIII
2 3 50,00 66,67 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
3 2 33,33 100,00 |IIIIIIIIIIIIIIIIIIIIII
4 0 0,00 100,00 |
5 0 0,00 100,00 |
Total 6

160
Item Detail Section for Item_27
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 16,67 16,67 |IIIIIIIIIII
2 2 33,33 50,00 |IIIIIIIIIIIIIIIIIIIIII
3 2 33,33 83,33 |IIIIIIIIIIIIIIIIIIIIII
4 1 16,67 100,00 |IIIIIIIIIII
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_28

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 2 33,33 33,33 |IIIIIIIIIIIIIIIIIIIIII
2 1 16,67 50,00 |IIIIIIIIIII
3 2 33,33 83,33 |IIIIIIIIIIIIIIIIIIIIII
4 1 16,67 100,00 |IIIIIIIIIII
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_29

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 16,67 16,67 |IIIIIIIIIII
2 0 0,00 16,67 |
3 3 50,00 66,67 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
4 2 33,33 100,00 |IIIIIIIIIIIIIIIIIIIIII
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_30

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 16,67 16,67 |IIIIIIIIIII
2 1 16,67 33,33 |IIIIIIIIIII
3 3 50,00 83,33 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
4 1 16,67 100,00 |IIIIIIIIIII
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_31

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 16,67 16,67 |IIIIIIIIIII
2 0 0,00 16,67 |
3 2 33,33 50,00 |IIIIIIIIIIIIIIIIIIIIII
4 3 50,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
5 0 0,00 100,00 |
Total 6

161
Item Detail Section for Item_32
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 3 50,00 50,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
4 3 50,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_33

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 5 83,33 83,33 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
3 0 0,00 83,33 |
4 1 16,67 100,00 |IIIIIIIIIII
5 0 0,00 100,00 |
Total 6

Item Detail Section for Item_34

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 2 33,33 33,33 |IIIIIIIIIIIIIIIIIIIIII
4 2 33,33 66,67 |IIIIIIIIIIIIIIIIIIIIII
5 2 33,33 100,00 |IIIIIIIIIIIIIIIIIIIIII
Total 6

162
Anexo “I”. Resultados de la Encuesta

Encuesta. Reporte de conteo de Ítems.

Item Detail Section for Item_35

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
Total 1

Item Detail Section for Item_36

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
Total 1

Item Detail Section for Item_37

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 0 0,00 0,00 |
Total 1

Item Detail Section for Item_38

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
5 0 0,00 0,00 |
Total 1

163
Item Detail Section for Item_39
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
Total 1

Item Detail Section for Item_40

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
Total 1

Item Detail Section for Item_41

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 0 0,00 0,00 |
Total 1

Item Detail Section for Item_42

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 0 0,00 0,00 |
Total 1

164
Item Detail Section for Item_43
IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
5 0 0,00 0,00 |
Total 1

Item Detail Section for Item_44

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
Total 1

Item Detail Section for Item_45

IndividualCumulative Percent
Value Count Percent Percent Bar Chart
1 0 0,00 0,00 |
2 0 0,00 0,00 |
3 0 0,00 0,00 |
4 0 0,00 0,00 |
5 1 100,00 100,00 |IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII|IIIIIIIIIIIIIIIIIIIIIII
Total 1

165
Anexo “J”. Herramienta AGR para el SGSI del CTIC.

Hoja Nº 1/3

166
 Hoja Nº 2/3

167
 Hoja Nº 3/3

168
Anexo “K”. Planilla para la identificación de activos

CENTRO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Sistema de Gestión de Seguridad de la Información

Planilla para Identificación de Activos por Servicio

Indicaciones: Utilice esta planilla para describir cada uno de los servicios que se
prestan en el CTIC. Agregue los activos, en el aparte dispuesto, que sean relevantes
para la prestación del servicio descrito.

Nombre del Servicio: __________________________________________________

Descripción: _________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________

Listado de activos relevantes.

1) _____________________________ 11) ____________________________

2) _____________________________ 12) ____________________________
3) _____________________________ 13) ____________________________
4) _____________________________ 14) ____________________________
5) _____________________________ 15) ____________________________
6) _____________________________ 16) ____________________________
7) _____________________________ 17) ____________________________
8) _____________________________ 18) ____________________________
9) _____________________________ 19) ____________________________
10) ____________________________ 20) ____________________________

169
Anexo “L”. Planilla para clasificación de activos

170
171
172
173
Anexo “M”. Tabla para la valoración de activos.

174
Anexo “N”. Amenazas por grupo de activos.

175
Anexo “O”. Escalas para la degradación y falla del activo.

DEGRADACIÓN DEL ACTIVO

(si la falla ocurre)

Descripción Degradación
%
Baja 25
Media 50
Alta 75
Total 100

VALORACIÓN DE FALLAS
Probabilidad
de Descripción/frecuencia Valor
Ocurrencia
más de 1 vez por
Extrema 6
semana
1 vez por semana como
Muy Alta 5
máximo
1 vez al mes como
Alta 4
máximo
Media De 2 a 3 veces por año 3
1 vez al año como
Baja 2
máximo
Muy Baja 2 a 3 veces cada 5 años 1
Muy poco probable que
Remota 0
ocurra

176
Anexo “P”. Escala para la Probabilidad de Gestión.

VALORACIÓN DE LA GESTIÓN

Probabilidad
Descripción Valor
de Gestión
Muy Difícil de Detectar o
Muy Baja 5
Corregir.
Difícil de Detectar o
Baja 4
Corregir.
Con esfuerzo para
Media 3
Detectar y Corregir
Fácil de Detectar pero
Alta con Esfuerzo para 2
Corregir
Muy fácil de Detectar y
Muy Alta 1
Corregir

177