universidad de guayaquil facultad de ciencias …repositorio.ug.edu.ec/bitstream/redug/36876/1/tesis...

i

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS ADMINISTRATIVAS

TRABAJO DE TITULACIÓN PRESENTADA COMO REQUISITO PARA OPTAR POR

EL TÍTULO DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS

COMPUTACIONALES

TEMA:

Diseño de un Sistema de Gestión de la Seguridad de la Información alineado bajo la norma

ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.

AUTOR(ES): Stephanía Daniela Mujica Flores

Jazmín Julieta Herrera Anchundia

TUTOR DE TESIS: Lcdo. Roddy Cabezas Padilla. , MAE.

Guayaquil, Septiembre del 2018

FACULTAD CIENCIAS ADMINISTRATIVAS

CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS

ii

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO: Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la Norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.

AUTOR(ES) (apellidos/nombres): Mujica Flores Stephanía Daniela Herrera Anchundia Jazmín Julieta

REVISOR(ES)/TUTOR(ES) (apellidos/nombres):

Cabezas Padilla Roddy

INSTITUCIÓN: Universidad de Guayaquil.

UNIDAD/FACULTAD: Facultad de Ciencias Administrativas.

MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistemas Administrativos Computarizados.

GRADO OBTENIDO:

FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 111

ÁREAS TEMÁTICAS: Tecnología de información para la Gestión Empresarial.

PALABRAS CLAVES/ KEYWORDS:

Información, seguridad, mejora continua, activos de información, ISO.

RESUMEN/ABSTRACT (150-250 palabras): En la actualidad la información es el activo de mayor importancia en toda empresa, es por ello que mantenerla a salvo debe ser primordial en las organizaciones, ya que sin la seguridad de la información adecuada, la continuidad de las empresas está en riesgo. La presente tesis se basa en el análisis de la situación actual en la que se encuentra el Consorcio Metro-Bastión referente a la seguridad de la información que maneja, alineado bajo la norma ISO/IEC 27001:2013 para dar a conocer cuáles son las falencias de seguridad del Consorcio Metro-Bastión y así realizar el diseño de un Sistema de Gestión de Seguridad de la Información que le permita al consorcio establecer mejores controles y políticas de seguridad a los activos que se encuentran en riesgo, por lo cual se realizado un pequeño análisis bajo un enfoque de riesgo basado en Magerit v3 para sugerir la creación de las políticas de seguridad que permiten la mejora continua de la empresa.

ADJUNTO PDF: SI NO

CONTACTO CON AUTOR/ES: Teléfono: 0996277099 0980884133

E-mail: [email protected]

[email protected]

CONTACTO CON LA INSTITUCIÓN:

Nombre: Universidad de Guayaquil

Teléfono:

E-mail:

mailto:[email protected]

mailto:[email protected]



iii

Guayaquil, 17 de Agosto del 2018.

Sr. ING. FRANCISCO MORÁN CEDEÑO, MAE. DIRECTOR DE LA CARRERA INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS FACULTAD DE CIENCIAS ADMINISTRATIVAS UNIVERSIDAD DE GUAYAQUIL Ciudad.- De mis consideraciones: Envío a Ud. el Informe correspondiente a la tutoría realizada al Trabajo de Titulación Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión de los estudiantes Stephanía Daniela Mujica Flores y Jazmín Julieta Herrera Anchundia, indicando han cumplido con todos los parámetros establecidos en la normativa vigente:

El trabajo es el resultado de una investigación.

El estudiante demuestra conocimiento profesional integral.

El trabajo presenta una propuesta en el área de conocimiento.

El nivel de argumentación es coherente con el campo de conocimiento. Adicionalmente, se adjunta el certificado de porcentaje de similitud y la valoración del trabajo de titulación con la respectiva calificación. Dando por concluida esta tutoría de trabajo de titulación, CERTIFICO, para los fines pertinentes, que los estudiantes están aptos para continuar con el proceso de revisión final. Atentamente, ______________________________________ Lcdo. Roddy Cabezas Padilla, MAE.

C.I. 0911780518



iv

CERTIFICADO PORCENTAJE DE SIMILITUD

Habiendo sido nombrado RODDY SALVADOR CABEZAS PADILLA, tutor del trabajo de titulación certifico que el presente trabajo de titulación ha sido elaborado por STEPHANÍA DANIELA MUJICA FLORES, C.C.: 0953293776, y JAZMÍN JULIETA HERRERA ANCHUNDIA, C.C.: 0951898246 con mi respectiva supervisión como requerimiento parcial para la obtención del título de Ingenieras en Sistemas Administrativos Computarizados.

Se informa que el trabajo de titulación: “DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ALINEADO BAJO LA NORMA ISO/IEC 27001:2013 PARA EL CONSORCIO METRO.BASTIÓN”, ha sido orientado durante todo el periodo de ejecución en el programa antiplagio URKUND quedando el 8% de coincidencia.

https://secure.urkund.com/view/39990310-740508-246254#FdBLagMxEIThu8y6COqnJF8leGFMEmYRb7w0vnv+LArU01+JQa/j93lcPm3IRpIiTSZZZMv+d2bESRCc4QxnOMMZjrUzOqMzBrWgFnwPakEtqAUmMIFJTGISk5jEJCa5OnGJKUxhClOYSnkoWlyEg6FAGNa11EPt6lSXujWHZmpymFpapuVaoZVapdXa2qbt2qXNNLXX

Vcfz/Hmc3+f99rh/HZfxwa95jCrniXpu8/

LCDO. RODDY CABEZAS, MAE.

C.I. 0911780518



v

LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL USO NO

COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS

Nosotras, STEPHANÍA DANIELA MUJICA FLORES con C.I. No. 0953293776, y JAZMÍN JULIETA HERRERA

ANCHUNDIA C.I. No. 0951898246 certifico que los contenidos desarrollados en este trabajo de titulación, cuyo

título es “Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC

27001:2013 para el Consorcio Metro-Bastión” son de mi absoluta propiedad y responsabilidad Y SEGÚN EL Art. 114

del CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E

INNOVACIÓN*, autorizo el uso de una licencia gratuita intransferible y no exclusiva para el uso no comercial de la

presente obra con fines no académicos, en favor de la Universidad de Guayaquil, para que haga uso del mismo,

como fuera pertinente.

_______________________________ ___________________________________

SETPHANÍA DANIELA MUJICA FLORES JAZMÍN JULIETA HERRERA ANCHUNDIA C.I. No. 0953293776 C.I. No. 0951898246

*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita,

intransferible y no exclusiva para el uso no comercial de la obra con fines académicos.



vi

DEDICATORIA

Quiero dedicar este trabajo principalmente a mis padres el Sr. Hugo

Mujica y la Sra. Esther Flores, ya que por medio de su apoyo, sus

grandes enseñanzas y valores, me han inculcado a cumplir con cada

uno de mis sueños y es por eso que hoy he logrado alcanzar una de

mis metas propuestas. Quiero dedicar este logro también a mis

hermanos mayores Amparo Mujica y Héctor Mujica que han sido mi

ejemplo a seguir de superación y de esfuerzo, quienes a pesar del

tiempo y la distancia que nos separa me han brindado ese apoyo

emocional y económico para estar en donde estoy, y en especial

quiero dedicar este trabajo a mi hermana melliza Dayana Mujica por

siempre ser incondicional, por ser mi ejemplo de fortaleza, de lucha y

por apoyarme en todos los aspectos de mi vida.

Stephanía Daniela Mujica Flores.



vii

DEDICATORIA

Llegar hasta esta etapa de mi vida ha sido una de las metas más

importantes que me he planteado, es por ello que se la dedico a Dios

porque me bendijo en cada paso, A mi hija Rebeca Chancay Herrera

porque es la persona que más amo por la cual yo daría todo, porque

quiero ser un ejemplo para ella.

A mi esposo el Sr. Javier Chancay Baque quien siempre ha estado

apoyándome y alentándome para que siga adelante con mis metas,

también dedico a mis padres los Sres. Egberto Herrera y Julieta

Anchundia que fueron quienes desde pequeña me inculcaron la

importancia de prepararse para ser una persona profesional, a cada

uno de mis hermanos y a mi familia en especial.

Jazmín Juelita Herrera Anchundia.



viii

AGRADECIMIENTO

Todo mi agradecimiento es principalmente a Dios, por brindarme la

capacidad e inteligencia para culminar mis estudios universitarios y

darme esa fortaleza para no rendirme a pesar de las circunstancias

ocurridas durante la etapa universitaria, a mis padres que me han

brindado su apoyo emocional y económico en cada etapa de mi vida, por

ser ese pilar fundamental y ayudarme a escalar cada peldaño.

Le agradezco a cada uno de los amigos que conocí en mi etapa

universitaria, ya que gracias a ellos la Universidad de Guayaquil se

convirtió en un hogar.

A toda la gente que estuvo a mi lado en los momentos de dificultad que

se presentaron y estuvieron dándome el apoyo para no rendirme.

GRACIAS DIOS.

Stephanía Daniela Mujica Flores.



ix

AGRADECIMIENTO

Le agradezco a Dios por todo en mi vida en especial por darme la

sabiduría para llegar cada día más lejos de lo planteado, a mi esposo por

darme su apoyo incondicional para cumplir mis metas, a mi hija por su

amor. A mis padres por haber inculcado en mí el valor de la

responsabilidad pues creo que sin este no hubiera podido culminar mis

estudios universitarios.

Le agradezco a mi compañera Daniela Mujica ya que en el transcurso de

mis estudios universitarios y ahora en este proceso de titulación siempre

ha estado conmigo apoyándonos mutuamente.

Le agradezco al Lic. Roddy Cabezas por su colaboración con nosotras

en este proceso de titulación.

Y le agradezco en general a la Universidad de Guayaquil y en específico

a la escuela de Ingeniería en sistemas administrativos y computarizados

por cada uno de los conocimientos impartidos.

Jazmín Julieta Herrera Anchundia.



x

“DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN ALINEADO BAJO LA NORMA ISO/IEC 27001:2013

PARA EL CONSORCIO METRO-BASTIÓN”

Autor: Stephanía Daniela Mujica Flores.

Jazmín Julieta Herra Anchundia.

Tutor: Lcdo. Roddy Cabezas Padilla., MAE.

Resumen

En la actualidad la información es el activo de mayor importancia para toda empresa, es por ello que mantenerla a

salvo debe ser primordial en las organizaciones, ya que sin la seguridad de la información adecuada, la continuidad

de las empresas está en riesgo. La presente tesis se basa en el análisis de la situación en la que se encuentra el

Consorcio Metro-Bastión referente a la seguridad de la información que maneja, alineado bajo la Norma ISO/IEC

27001:2013 para dar a conocer cuáles son las falencias de seguridad del consorcio Metro-Bastión y así realizar el

diseño de un Sistema de Gestión de Seguridad de la Información que le permita al Consorcio Metro-Bastión

establecer mejores controles y políticas de seguridad a los activos que se encuentran en riesgo, por lo cual se ha

realizado un pequeño análisis bajo un enfoque de riesgo basado en Magerit V3 para sugerir la creación de políticas

de seguridad que permitan la mejora continua de la empresa.

Palabras Claves: Información, seguridad, mejora continua, activos de información, ISO



xi

"DESIGN OF AN INFORMATION SECURITY MANAGEMENT SYSTEM ALIGNED

UNDER ISO / IEC 27001: 2013 STANDARD FOR THE METRO-BASTION

CONSORTIUM"

Author: Stephanía Daniela Mujica Flores.

Jazmín Julieta Herra Anchundia.

Advisor: Lcdo. Roddy Cabezas Padilla. , MAE.

Abstract

At present, information is the most important asset for any company, which is why keeping it safe must be paramount in organizations, because without the security of adequate information, the continuity of companies is at risk. This thesis is based on the analysis of the situation in which the Metro-Bastion Consortium is related to the security of the information it handles, aligned under the ISO / IEC 27001: 2013 Standard to make known the shortcomings of security of the Metro-Bastion consortium and thus carry out the design of an Information Security Management System that allows the Metro-Bastion Consortium to establish better security controls and policies for the assets that are at risk, for which reason it has been conducted a small analysis under a risk approach based on Magerit V3 to suggest the creation of security policies that allow continuous improvement of the company.

Keywords: Information, security, continuous improvement, information assets, ISO.



xii

Guayaquil, 30 de Agosto del 2018

CERTIFICACIÓN DEL TUTOR REVISOR

Habiendo sido nombrado CESAR GABRIEL BARRIONUEVO DE LA ROSA, tutor del trabajo de

titulación “Diseño de un Sistema de Gestión de Seguridad de la Información alineado

bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión” certifico que el

presente trabajo de titulación, elaborado por Stephanía Daniela Mujica Flores, con C.I. No.

0953293776 y Jazmín Julieta Herrera Anchundia, con C.I. No. 0951898246, con mi respectiva

supervisión como requerimiento parcial para la obtención del título de Ingenieras en

Sistemas Administrativos Computarizados, en la Carrera de Ingeniería en Sistemas

Administrativos Computarizados de la Facultad de Ciencias Administrativas, ha sido

REVISADO Y APROBADO en todas sus partes, encontrándose apto para su sustentación.

_______________________________

CESAR GABRIEL BARRIONUEVO DE LA ROSA

C.I. No. 0920214731



xiii

Tabla de contenido

Capítulo 1 ........................................................................................................................................... 1 1.1. Introducción ...................................................................................................................................................................... 1 1.2. Antecedentes ..................................................................................................................................................................... 2 1.3. El problema........................................................................................................................................................................ 4 1.4. Objetivos ............................................................................................................................................................................. 5

1.4.1. Objetivo General ..................................................................................................................................................... 5 1.4.2. Objetivos Específicos ............................................................................................................................................ 5

1.5. Justificación ....................................................................................................................................................................... 6 1.5.1. El propósito del estudio. ...................................................................................................................................... 7 1.5.2. El significado del estudio. ................................................................................................................................... 7

1.6. Definición de términos .................................................................................................................................................. 8 1.7. Supuestos del estudio .................................................................................................................................................... 9

Capítulo 2 DISEÑO TEÓRICO ....................................................................................................... 10 2.1. Géneros de literatura incluidos en la revisión ................................................................................................. 10

2.1.1. Fuentes. ................................................................................................................................................................... 10 2.2. Marco teórico ................................................................................................................................................................. 10

2.2.1. Antecedentes investigativos ........................................................................................................................... 10 2.2.2. Reseña Institucional Troncal 3 Consorcio Metro-Bastión .................................................................. 12 2.2.3. Antecedentes conceptuales ............................................................................................................................. 13

Capítulo 3 DISEÑO METODÓLOGICO ......................................................................................... 24 3.1. Tipo de Estudio: ............................................................................................................................................................ 24 3.2. Población y la Muestra. .............................................................................................................................................. 26

3.2.1. Población: ............................................................................................................................................................... 26 3.2.2. La Muestra .............................................................................................................................................................. 27 3.2.3. Técnicas de recolección de datos .................................................................................................................. 28 3.2.4. Procesamiento de Datos y Análisis de Datos ........................................................................................... 31 3.2.5. Procesamiento de Datos ................................................................................................................................... 31 3.2.6. El análisis de datos ............................................................................................................................................. 31 3.2.7. Análisis de los Resultados ................................................................................................................................ 33 3.2.8. Discusión de los resultados ............................................................................................................................. 55

Capítulo 4 PROPUESTA .................................................................................................................. 56 4.1. Título de la propuesta ................................................................................................................................................ 56 4.2. Objetivo de la propuesta ........................................................................................................................................... 56 4.3. Justificación de la propuesta ................................................................................................................................... 57 4.4. Descripción de la propuesta .................................................................................................................................... 58

4.4.1. Descripción de la Empresa .............................................................................................................................. 64 4.4.2. Análisis de riesgo ................................................................................................................................................. 66

4.5. Impactos de la propuesta .......................................................................................................................................... 87 4.6. Conclusiones .................................................................................................................................................................. 89 4.7. Recomendaciones ........................................................................................................................................................ 90



xiv

Índice de Tablas

Tabla 1. Población ............................................................................................................................ 27 Tabla 2 Muestra de la investigación ................................................................................................. 28 Tabla 3 Recolección de la Información ............................................................................................ 29

Tabla 4 Tabulación pregunta 1 de la encuesta. ................................................................................ 33 Tabla 5 Tabulación pregunta 2 Encuesta. ........................................................................................ 34 Tabla 6 Tabulación pregunta 3 Encuesta. ........................................................................................ 35 Tabla 7 Tabulación pregunta 4 Encuesta. ........................................................................................ 36

Tabla 8 Tabulación pregunta 5 encuesta ......................................................................................... 37 Tabla 9 Tabulación pregunta 6 Encuesta. ........................................................................................ 38 Tabla 10 Tabulación pregunta 7 encuesta. ...................................................................................... 39 Tabla 11 Tabulación pregunta 8 encuesta. ...................................................................................... 40

Tabla 12 Cumplimiento del punto 4. Contexto de la Organización. ................................................ 41 Tabla 13 Cumplimiento del punto 5. Liderazgo. .............................................................................. 43

Tabla 14 Cumplimiento del punto 6 Planificación. .......................................................................... 45

Tabla 15 Cumplimiento de punto 7 Apoyo y Soporte. ...................................................................... 47

Tabla 16 Cumplimiento punto 8. Operación. ................................................................................... 49 Tabla 17 Cumplimiento punto 9. Evaluación y Desempeño. ............................................................ 51 Tabla 18 Cumplimiento punto 10. Mejora. ....................................................................................... 53

Tabla 19 Porcentaje General de cumplimiento e incumplimiento. .................................................. 54 Tabla 20 Identificación de Activos. .................................................................................................. 67

Tabla 21 Procedimientos y Dependencias ........................................................................................ 68 Tabla 22 Calificación del Valor de Activo según C.I.D. .................................................................. 70 Tabla 23 Clasificación del Activo ..................................................................................................... 70

Tabla 24 Valoración de Activos de información del Consorcio Metro-Bastión. ............................. 71

Tabla 25 Valoración de Activos Físicos del Consorcio Metro-Bastión. .......................................... 73

Tabla 26 Valoración Activos de servicio Consorcio Metro-Bastión. ............................................... 74 Tabla 27 Valoración de Activos personales. .................................................................................... 75

Tabla 28 Valoración General activos de Información ...................................................................... 76 Tabla 29 Identificación de Amenazas y Vulnerabilidades de los Activos de Información/Software.

.................................................................................................................................................... 78 Tabla 30 Identificación de Amenazas y Vulnerabilidades de los Activos de información Físicos

Hardware/ Infraestructura. ........................................................................................................ 79

Tabla 31 Identificación de Amenazas y Vulnerabilidades de los Activos de Servicio. .................... 80 Tabla 32 Identificación de Amenazas y Vulnerabilidades de los Activos Personales. ..................... 80 Tabla 33 Impacto. ............................................................................................................................. 81

Tabla 34 Probabilidad de Ocurrencia. (Frecuencia) ....................................................................... 81 Tabla 35 Impacto. ............................................................................................................................. 82

Tabla 36 Tratamiento de Riesgo. ...................................................................................................... 84



xv

Índice de Gráficos

Gráfico 1 Pregunta 1 Encuesta. ....................................................................................................... 33

Gráfico 2 Pregunta 2 Encuesta. ....................................................................................................... 34 Gráfico 3 Pregunta 3 Encuesta. ....................................................................................................... 35 Gráfico 4 Pregunta 4 encuesta. ........................................................................................................ 36 Gráfico 5 Pregunta 5 encuesta. ........................................................................................................ 37

Gráfico 6 Pregunta 6 encuesta. ........................................................................................................ 38 Gráfico 7 Pregunta 7 encuesta. ........................................................................................................ 39 Gráfico 8 Pregunta 8 encuesta. ........................................................................................................ 40

Gráfico 9. Cumplimiento de Contexto de la Organización. ............................................................. 42 Gráfico 10. Cumplimiento de Liderazgo. ......................................................................................... 44

Gráfico 11. Cumplimiento de Planificación. .................................................................................... 46 Gráfico 12. Cumplimiento Apoyo y Soporte. .................................................................................... 48

Gráfico 13. Cumplimiento Operación. ............................................................................................. 50 Gráfico 14. Cumplimiento Evaluación del Desempeño. ................................................................... 52

Gráfico 15. Cumplimiento Mejora. ................................................................................................... 53 Gráfico 16. Porcentaje general de cumplimiento de la Norma ISO/IEC 27001:2013. .................... 54 Gráfico 17 Valoración de Activos de Información del Consorcio Metro-Bastión. .......................... 72

Gráfico 18 Valoración Activos Físicos. ............................................................................................ 73 Gráfico 19 Activos de Servicio. ........................................................................................................ 74

Gráfico 20 Valoración general Activos de Información................................................................... 76



xvi

Índice de Figuras

Figura 1. La información. ................................................................................................................ 14

Figura 2 Cambios Estructurales en la Norma ISO 27001 ................................................................ 21 Figura 3. Ciclo Deming. ................................................................................................................... 22 Figura 4. Modelo de encuesta realizada ........................................................................................... 30 Figura 5. Organigrama Consorcio Metro-Bastión ........................................................................... 65

Índice de Ilustraciones

Ilustración 1 Diagrama AS IS/TO BE. Procedimientos de seguridad en Consorcio Metro-Bastión.

.................................................................................................................................................... 60

Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma


1

CAPÍTULO 1

1.1. Introducción

Hace más de una década atrás, el tránsito vehicular en la ciudad de Guayaquil era

totalmente desorganizado, existían diferentes líneas de buses de transporte urbano que generaban

aglomeraciones y un ambiente caótico en las calles de la ciudad, debido al incumplimiento de las

leyes de tránsito.

El mal servicio que brindaban era notorio, con un personal poco idóneo al momento de

cumplir con la atención al usuario, por lo cual la municipalidad de Guayaquil optó por

implementar el Sistema Integrado Metrovía de la ciudad de Guayaquil conformada por 3

consorcios: Metroquil, Metroexpress, Metro-Bastión los mismos que son regulados por la

fundación Metrovía perteneciente a la municipalidad de Guayaquil.

La presente tesis se enfocará en el Diseño de un Sistema de Gestión de la Seguridad de la

información para el Consorcio Metro-Bastión.

Es evidente que la información es uno de los activos primordiales para toda empresa, por

lo cual es de gran importancia para el Consorcio Metro-Bastión salvaguardarla, ya que muchas

veces la información puede ser tergiversada o puede perderse por la cantidad de riesgos a la que

está expuesta.

A raíz de que la tecnología hoy en día es más sofisticada, la información está en constante

vulnerabilidad, ya que, así como evoluciona la tecnología también se incrementan los ataques

cibernéticos. Por esta razón el Consorcio debe adoptar las medidas y controles necesarios para

proteger a la compañía ante las amenazas a los activos de información que afectan la

confidencialidad, integridad y disponibilidad de la información del Consorcio.



2

El diseño del sistema de Gestión de Seguridad de la Información para el Consorcio

Metro-Bastión, estará alineado bajo la norma ISO 27001:2013 el cual permitirá preservar los

recursos informáticos del Consorcio ayudando a cumplir sus objetivos, ya que el Consorcio no

cuenta con la seguridad de la información adecuada.

La ISO 27001:2013 es una norma internacional emitida por la Organización Internacional

de Normalización (ISO) y describe cómo gestionar la seguridad de información en una empresa.

La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre complemento

es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la

norma británica BS 7799-2. (27001 Academy, s.f.)

Por lo tanto se desarrolla esta tesis con el fin de realizar un diagnóstico que permita

analizar cuánto es el cumplimiento que tiene el Consorcio Metro-Bastión con la norma ISO/IEC

27001:2013 y de esta manera realizar un Diseño de Gestión de Seguridad de la Información que

permita cumplir con los requerimientos estipulados en la norma para garantizar que los riesgos

de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por el

Consorcio Metro-Bastión de una forma documentada, sistemática, estructurada, repetible,

eficiente, y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

1.2. Antecedentes

Según el portal (Grupo Control Seguridad , 2010) la Seguridad Informática ha

experimentado un profundo cambio en los últimos años, llevadas a cabo con el objetivo de

fortalecer la seguridad en puntos muy concretos, han dado paso a inversiones para asegurar el

bien más valioso de la empresa, la información, enfocando la seguridad hacia los procesos de

negocio de la empresa.



3

De acuerdo al mismo portal, dice que durante los años 80 y principios de los 90 la

Seguridad Informática se centraba en proteger los equipos de los usuarios, es decir, proporcionar

seguridad a los ordenadores y su sistema operativo. Esta Seguridad Lógica, entendida como la

seguridad de los equipos informáticos era para evitar que dejasen de funcionar correctamente, se

centraba en la protección contra virus informáticos.

Con la aparición de internet y su uso globalizado a nivel empresarial, la seguridad

informática comenzó a enfocarse hacia la conectividad de redes o Networking, protegiendo los

equipos servidores de aplicaciones informáticas, los equipos servidores accesibles públicamente

a través de internet, y controlando la seguridad a nivel periférica a través de dispositivos como

Firewalls. Es decir, la posibilidad tecnológica de “estar conectados” llevaba implícita la

aparición de nuevas vulnerabilidades que podían ser explotadas, la exposición de información

crucial para el negocio que podía ser accesible precisamente gracias a esa conectividad.

El perfil de atacante de un sistema informático ha cambiado radicalmente. Si bien antes

los objetivos de un atacante o hacker podían ser más simples (acceder a un sitio donde nadie

antes había conseguido llegar, o infectar un sistema mediante algún tipo de virus, pero sin ningún

tipo de ánimo de lucro), en la actualidad los atacantes se han percatado de lo importante que es la

información y sobre todo de lo valiosa que puede ser. Se trata de grupos organizados que

aprovechan las vulnerabilidades de los sistemas informáticos y las redes de telecomunicaciones

para acceder a la información crítica y sensible de la empresa.

El Consorcio Metro-Bastión es una organización ecuatoriana constituida el 1 de marzo del

2006 a través del aporte de 13 cooperativas de transporte público urbano con la finalidad única

de brindar el servicio de transporte urbano masivo de pasajeros en la Troncal III (Bastión

Popular) del sistema integrado Metrovía de la ciudad de Guayaquil.



4

El Consorcio Metro-Bastión procesa información a través de sus diferentes activos

informáticos, es por ello que en la actualidad la información en formato digital tiene un papel

fundamental para la toma de decisiones, por lo cual está en constante amenaza de tipo natural o

humano y para el Consorcio debe ser esencial protegerla.

1.3. El problema

Actualmente el uso de la tecnología es indispensable en las organizaciones,

prácticamente todo es controlado por las nuevas tecnologías, ya que estas permiten mejorar los

procesos y la eficiencia en los trabajadores de cada organización.

El Consorcio Metro-Bastión como toda empresa recibe información crucial tanto

personal como financiera por parte de sus clientes y de sus proveedores, dicha información es

almacenada tanto física como electrónica (vía telefónica, vía e-mail, personal etc.).

Toda aquella información que el Consorcio recibe mediante estos medios debe ser

confidencial y exclusivamente para el uso de la empresa, la misma que es puesta a disposición

del personal que solicite el uso de dicha información para la toma de decisiones.

El fácil acceso a la información es uno de los métodos existentes y nuevos para sustraer

los datos lo cual produce mayor dificultad al momento de salvaguardar la información.

El problema radica en que el Consorcio Metro-Bastión no cuenta con los controles,

medidas, políticas y procedimientos de seguridad necesarios para asegurar sus activos de

información, tales como: documentos, hardware, software, imagen, audio, video, etc. Si bien es

cierto, como toda empresa mantiene un control de su información, pero no es suficiente para

mantener a salvo el activo más importante de la empresa.



5

La información es vulnerable a amenazas tanto físicas como tecnológicas, como por

ejemplo: desastres naturales, estructurales, personales, riesgos contra el patrimonio, entre otros

riesgos.

El propósito de diseñar este sistema de gestión de seguridad de la información será

salvaguardar y controlar la información y establecer los controles necesarios para garantizar la

confidencialidad, integridad y disponibilidad de la empresa, y así minimizar los riesgos de la

información, considerando que un sistema de gestión de seguridad de la información (SGSI)

evita que los activos de información sean vulnerables; desde un simple virus de computadora

hasta el robo de la información de la empresa.

1.4. Objetivos

1.4.1. Objetivo General

Diseñar un Sistema de Seguridad de la Información para el Consorcio Metro-Bastión que

permita mitigar los riesgos de los activos de información los cuales actualmente son vulnerables

poniendo en riesgo los procesos de la empresa.

1.4.2. Objetivos Específicos

Realizar un análisis del estado actual en el que se encuentra la información del

Consorcio Metro-Bastión, mediante un diagnóstico de cumplimiento e

incumplimiento de la norma ISO/IEC 27001:2013.

Identificar, clasificar y valorar a los activos, identificando las amenazas y

vulnerabilidades a las que están expuestos los activos de información bajo un

enfoque de riesgo.



6

Sugerir las políticas de seguridad que permitan hacer uso aceptable de los activos

de información que garanticen la confidencialidad, integridad y disponibilidad de la

información.

1.5. Justificación

El motivo primordial por el que se pretende diseñar un sistema de gestión de seguridad de

la información alineado bajo la norma ISO/IEC 27001:2013 es la solución al incremento de las

amenazas informáticas a la que está expuesta la información del Consorcio Metro Bastión, por lo

cual el área de la seguridad de información debe tener mayor prioridad, ya que conforman a los

activos más valiosos con los que cuenta el Consorcio.

Gracias al estudio realizado se podrá mitigar los riesgos a los que están expuestos los

activos de información del Consorcio Metro-Bastión, mediante los procedimientos que se

realizarán para hallar los riesgos y las amenazas de los activos y así asegurar la continuidad de la

empresa.

Para el desarrollo de esta tesis se alineará bajo la norma ISO/IEC 27001:2013 la cual nos

permitirá establecer los procedimientos adecuados para diseñar un correcto Sistema de Gestión

de Seguridad de la Información. El cual estará basado en 7 pilares fundamentarles de la norma

internacional:

4. Contexto de la Organización

5. Liderazgo

6. Planificación

7. Apoyo/Soporte

8. Operación



7

9. Evaluación del desempeño

10. Mejoras

Se realizará un diagnóstico que permita dar a conocer la cercanía que tiene el Consorcio de

cumplir con los lineamientos de la norma ISO/IEC 27001:2013

1.5.1. El propósito del estudio.

Con el Sistema de Gestión de Seguridad de la Información se espera establecer las

metodologías necesarias de manera clara y estructurada, poder crear conciencia en los

responsables de los activos de información, los procesos de negocio, la existencia de riesgos y la

necesidad de gestionarlos a tiempo.

Mediante el SGSI se brindará mayor confianza a los clientes al garantizar la

confidencialidad de la información y así también garantizar la continuidad del Consorcio.

1.5.2. El significado del estudio.

Partimos del hecho que la Metrovía es un servicio a la comunidad que transporta

aproximadamente hasta 65.384 usuarios diarios, es por ello que el Consorcio maneja mucha

información importante la cual debe ser protegida. En consecuencia, el estudio propende

establecer metodologías de gestión de seguridad de la información, crear conciencia en los

encargados de los procesos, reducir los riesgos que amenacen directamente a los activos de la

información, brindar mayor confianza a los clientes.



8

1.6. Definición de términos

Activo de Información: Recurso de valor para el desarrollo de la actividad propia de la

institución que incluye la gestión de la información, el software para su tratamiento y los

soportes físicos y lógicos de la información. (Universidad Nacional de Luján, 2018)

Amenazas: Evento capaz de atentar contra la seguridad de la información y provocar

incidentes en la organización. (Universidad Nacional de Luján, 2018)

Confidencialidad: La confidencialidad implica que debe protegerse la información de

forma tal que solo sea conocida por las personas autorizadas y se la resguarde del acceso de

terceros. (Universidad Nacional de Luján, 2018)

Disponibilidad: La disponibilidad implica que debe protegerse la información de forma

tal que se pueda disponer de ella para su gestión en el tiempo y la forma requeridos por el

usuario. (Universidad Nacional de Luján, 2018)

Información: Datos relacionados que tienen valor para la organización

Integridad: La integridad implica que debe salvaguardarse la totalidad y la exactitud de

la información que se gestiona. (Universidad Nacional de Luján, 2018)

ISO: International Standard Organization. En español Organización de Estándares

Internacionales. Conjunto de normas orientadas a ordenar la gestión de una empresa. (ISOtools,

2015)

Riesgo: Es la posibilidad de que una amenaza aproveche una vulnerabilidad y dañe un

activo de información (Universidad Nacional de Luján, 2018)

Seguridad de la Información: Conjunto de metodologías, técnicas, estrategias, políticas,

normas y procedimientos tendientes a minimizar las amenazas y riesgos continuos a los que está

expuesta la información. (Universidad Nacional de Luján, 2018)



9

S.G.S.I: Sistema de Gestión de Seguridad de la Información.

Vulnerabilidad: Debilidad en un activo que lo hace susceptible a ser atacado.

(Universidad Nacional de Luján, 2018)

Alcance: Ámbito de la organización que queda sometido al SGSI. (ISO2700.ES, s.f.)

Parte interesada: Persona u organización que puede afectar a, ser afectada por o

percibirse a sí misma como afectada por una decisión o actividad. (ISO2700.ES, s.f.)

Mejora continua: Es un proceso que pretende mejorar, los productos, servicios y

procesos de una organización mediante una actitud general, la cual configura la base para

asegurar la estabilización de los circuitos de una continuada detección de errores o áreas de

mejoras. (ISOTools, 2015)

Aceptación del riesgo: Decisión informada de asumir un riesgo concreto. (ISO2700.ES,

s.f.)

Procesos: Conjunto de actividades interrelacionadas o interactuantes que transforman

unas entradas en salidas. (ISO2700.ES, s.f.)

Acción correctiva: Acción para eliminar la causa de una no conformidad y prevenir su

repetición. Va más allá de la simple corrección. (ISO2700.ES, s.f.)

1.7. Supuestos del estudio

Diseñando un sistema de gestión de la seguridad de la información alineado bajo la

norma ISO/IEC 27001:2013 se espera garantizar la protección adecuada de la información,

permitiendo cumplir con los principios de seguridad que debe tener toda información en una

empresa que son: integridad, disponibilidad, y confidencialidad permitiendo que el Consorcio

Metro Bastión mejore sus procesos y cree nuevos controles que permitan reestructurar la

seguridad de información establecida en el Consorcio Metro-Bastión.



10

CAPÍTULO 2 DISEÑO TEÓRICO

2.1. Géneros de literatura incluidos en la revisión

2.1.1. Fuentes.

Según la investigación de Marisol Maranto y Eugenia González (2015) encontrada en el

repositorio de la universidad Autónoma del Estado de Hidalgo dice el tipo de fuentes de

información primaria abarca información original y exclusiva, y sus fuentes principales son

libros, revistas, monografías etc.

Mientras que las fuentes secundarias son definidas como información que ha sido

extraída desde una fuente primaria para realizar un análisis e interpretación de la información ya

obtenida.

La presente investigación es desarrollada mediante información extraída tanto de fuentes

primarias como de fuentes secundarias, dado que se analiza e interpreta diferentes estudios de

investigación, los cuales han sido hallados en diferentes repositorios de universidades tanto

nacionales como internacionales, de artículos de revistas, libros etc.

2.2. Marco teórico

2.2.1. Antecedentes investigativos

En la tesis “Diseño de un Sistema de Gestión de Seguridad de la Información

mediantes la aplicación de la Norma Internacional ISO/IEC 27001:2013 en la oficina de

Sistemas de Información y Telecomunicaciones de la Universidad de Córdova” (Doria,

2015) menciona que:



11

El SGSI es un marco de administración general a través del cual las organizaciones

identifican, analizan y direccionan sus riesgos en seguridad de la información. La correcta

implementación de un SGSI garantiza que los acuerdos de seguridad están afinados para

mantenerse al ritmo constante con las amenazas de seguridad, vulnerabilidades e

impactos en el negocio, el cual es un aspecto a considerar profundamente teniendo en

cuenta la competitividad y cambios a los que enfrentan las organizaciones hoy en día.

Por otro lado, en la tesis de grado “Diseño de un Modelo de Gestión de Seguridad de

Información Digital para la Secretaría Nacional de la Escuela Tecnológica Instituto

Técnico Central” realizada por (Peña, 2016) dice que:

Para mantenerse en el mercado actual se requiere de recursos disponibles, un enfoque

proactivo y estratégico para implantar un Sistema de Gestión de Seguridad de la

información, para gestionar, crear una meta concreta y criterios generales de evaluación y

decisión para el tratamiento de los riesgos en que se encuentre la información dentro de

cualquier tipo de organización siendo esta un activo que como los otros activos

importantes tiene valor y en consecuencia requiere una protección adecuada, por eso es

preciso asegurar la confidencialidad, integridad, disponibilidad de la información valiosa

para la organización, el negocio y los clientes.

En el artículo “Metodología de Implantación de un SGSI en grupos empresariales de

relación jerárquica” realizado por (Pallas & Corti) menciona que:



12

La seguridad de la información, no es un activo a comprar, ni un fin en sí mismo,

tampoco un estado a alcanzar haciendo una determinada inversión; debe gestionarse,

deben existir metas concretas, criterios generales de evaluación y de decisión, y debe

poder medirse. Es un sistema dinámico en constante evolución que debe ser evaluado y

monitoreado, con métricas establecidas que permitan, comparar de manera consciente y

objetiva escenarios diferentes y tomar decisiones con respecto a los riesgos que se

afrontan y los recursos que se invierten.

Como los estudios anteriormente citados muestran que es de gran importancia que toda

empresa cuente con Sistema de Gestión de Seguridad de la Información (SGSI) ya que protege

en gran manera la información utilizada, pero muchas empresas no le dan mayor importancia a la

información, permitiendo que las amenazas sean mucho mayores.

2.2.2. Reseña Institucional Troncal 3 Consorcio Metro-Bastión

El interés de la alcaldía por mejorar el sistema de transporte de Guayaquil dio inicio al

sistema Metrovía fue constituida con la denominación de “Fundación de Transporte Masivo

Urbano de Guayaquil” mediante el acuerdo Ministerial No. 0220, de fecha 25 de marzo del 2004,

emitida por el Ministro de Gobierno, Cultos, Policías y Municipalidades. (METROVIA, 2015)

La Fundación Municipal Transporte Masivo Urbano de Guayaquil, con su sucursal

Consorcio Metro-Bastión es una persona jurídica de derecho privado y sin fines de lucro con el

objeto de impulsar permanentemente, así como administrar y regular en forma coordinada el

Sistema Integrado de Transporte Urbano Masivo de Guayaquil “Sistema Metrovía” conformado

por las rutas, terminales, paradas, infraestructura y equipos incorporados al referido sistema.



13

Fue constituida el 01 de marzo del 2006 a través del aporte de 13 cooperativas de

transporte público urbano que operaban en la ciudad de Guayaquil con la única finalidad de

brindar el servicio de transporte urbano masivo en la troncal 3 (Bastión Popular) del Sistema

Integrado Metrovía de la ciudad de Guayaquil. (MetroVia, 2015)

2.2.3. Antecedentes conceptuales

La información

La información ha existido desde el surgimiento de la raza humana bajo diferentes formas

y técnicas, por tanto, en la antigüedad era muy importante para el hombre mantener a salvo la

información por lo cual esta era registrada en objetos que se almacenaban en lugares de difícil

acceso.

Se define que:

La información es un conjunto de datos con un significado, o sea, que reduce la

incertidumbre o que aumenta el conocimiento de algo. En verdad, la información es un mensaje

con significado en determinado contexto, disponible para uso inmediato que proporciona

orientación a las acciones por el hecho de reducir el margen de incertidumbre con respecto a

nuestras decisiones. (Chiavenato, 2006, pág. 110)

Según la ISO 27001, se entiende por información todo aquel conjunto de datos

organizados en poder de una entidad que posean valor para la misma, independientemente de la

forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada

electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones,

etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

(ISO 27000.ES, 2018)



14

Figura 1. La información.

Activos de Información

Según el blog de ISACA, (2018), dice que un Activo de información es:

“Un recurso o bien económico propiedad de una empresa, con el cual se obtienen

beneficios. Los activos de las empresas varían de acuerdo con la naturaleza de la actividad

desarrollada”.

ISO 27001 menciona que “los activos de información pueden ser ficheros y bases de

datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones,

software del sistema, etc.” (ISO TOOLS, 2014)

Uno de los primeros pasos que se debe realizar es un inventario de los activos para

reconocerlos e identificarlos dentro de la organización. En este inventario hay que

clasificarlos y obtener toda la información posible como, por ejemplo, tipo de activo,

valor, localización, formato, etc.



15

Dentro del SGSI de ISO-27001, para cada activo, se debe establecer un propietario que

defina el grado de seguridad que hay que aplicar al mismo, aunque no necesariamente

será la que gestione el día a día del mismo. (ISO TOOLS, 2014)

Seguridad de la información

Seguridad:

A grandes rasgos puede afirmarse que este concepto que proviene del latín securitas hace

foco en la característica de seguro, es decir, realza la propiedad de algo donde no se registran

peligros, daños, ni riesgos. Una cosa segura es algo firme, cierto e indubitable. La seguridad, por

lo tanto, puede considerarse como una certeza. (Pérez & Gardey, 2012)

En toda empresa la seguridad de la información debe ser un componente crucial en la

estrategia de negocio, por lo cual con el avance tecnológico, la información hoy en día puede

mantenerse mejor protegida ante las amenazas, con el fin de asegurar la continuidad de la

empresa.

La seguridad de la información, según ISO 27001, se refiere a la confidencialidad, la

integridad y la disponibilidad de la información y los datos importantes para la organización,

independientemente del formato que tengan estos pueden ser (electrónicos, en papel, audio y

video, etc.). ( ISOTools Excellence, 2015)

Fundamentos de la seguridad de Información

Para garantizar que la seguridad de información es gestionada correctamente se debe

identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-

I-D:



16

Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso.

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la

misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. (ISO

27000.ES, 2018)

Seguridad Informática

Definición: “La seguridad informática consiste en aquellas prácticas que se llevan

adelante respecto de un sistema de computación a fin de proteger y resguardar su funcionamiento

y la información en él contenida”. (DefiniciónABC, s.f.)

Es decir, la seguridad informática se centra en salvaguardar toda la información

registrada, procesada y almacenada en un sistema y equipo de comunicación.

“La seguridad informática, de igual forma a como sucede con la seguridad aplicada a

otros entornos, trata de minimizar los riesgos asociados al acceso y utilización de determinado

sistema de forma no autorizada y en general malintencionada” (Galdámez, 2003, pág. 4)

La seguridad informática, y la seguridad de la información son contextos muy distintos

pero que están relacionados, cabe recalcar que la seguridad informática se enfoca en la

protección de los recursos del sistema de información de una organización y por otro lado la

seguridad de la información se enfoca en la preservación de los datos más importantes, ya sean

almacenados de manera escrita, digital, electrónico entre otros, que mantiene una empresa y de

esta manera lograr mantener la confidencialidad, integridad y disponibilidad de la información.



17

Objetivos de la Seguridad Informática

El objetivo de la seguridad informática es proteger los recursos informáticos valiosos de

la organización, tales como la información, el hardware o el software. A través de la adaptación

de las medidas adecuadas, la seguridad informática ayuda a la organización a cumplir sus

objetivos, protegiendo sus recursos financieros, sus sistemas, su reputación, su situación legal, y

otros bienes tanto tangibles como inmateriales. (Galdámez, 2003)

Sistema de Gestión de Seguridad de la Información (SGSI)

El SGSI es la abreviatura usada para referirse al Sistema de Gestión de Seguridad de la

Información e ISMS son las siglas equivalentes en inglés a Information Security

Management System.

El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en

preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas

implicados en el tratamiento dentro de la organización. ( ISOTools Excellence, 2015)

Según Federico Pacheco en su artículo “La importancia de un SGSI” dice que un

Sistema de Gestión de Seguridad de la Información propicia un enfoque general de la situación

de los sistemas de información de la empresa, ya que asegura la obtención de resultados al

aplicar las medidas de seguridad correspondientes, con lo cual la alta gerencia puede podrá tomar

mejores decisiones estratégicas.



18

International Organization for Standarization/ Organización Internacional de

Normalización (ISO)

ISO es una organización internacional independiente y no gubernamental con una

membresía de 160 organismos nacionales de normalización.

A través de sus miembros, reúne a expertos para compartir conocimientos y desarrollar

normas internacionales voluntarias, basadas en el consenso y relevantes para el mercado que

respalden la innovación y brinden soluciones a los desafíos mundiales.

ISO ha publicado 22226 Normas Internacionales y documentos relacionados, que cubren

prácticamente todas las industrias, desde la tecnología hasta la seguridad alimentaria, la

agricultura y la sanidad. (ISO, s.f.)

Historia ISO

La historia de las Normas Internacionales de Estandarización tiene 71 en la actualidad

desde que comenzaron con su actividad.

La historia de ISO comenzó en 1946 cuando delegados de 25 países se reunieron en el

Instituto de Ingenieros Civiles y decidieron crear una nueva organización internacional

para facilitar la coordinación internacional y la unificación de estándares industriales. El

23 de febrero de 1947, la nueva organización, ISO, comenzó a operar oficialmente. (ISO,

s.f.)

International Electrotechnical Commission (IEC Comisión Electrotécnica Internacional)

Fundada el 26 de Junio de 1906, Londres Reino Unido, la IEC es actualmente la

organización líder a nivel mundial encargada de preparar y publicar Normas Internacionales para



19

todas las tecnologías eléctricas, electrónicas y afines, conocidas en su conjunto como

“electrotecnología”.

El IEC ofrece a la industria y a los gobiernos una plataforma donde pueden reunirse,

discutir y preparar las normas que necesitan. La IEC también administra tres Sistemas de

Evaluación de la Conformidad para millones de dispositivos que utilizan y producen electricidad

de cualquier forma. (International Electrotechnical Commission, 2010)

Norma ISO/IEC 27001:2013

Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar,

monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información

(SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo Deming) de mejora

continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001

para medio ambiente, etc.).

Es un estándar certificable, es decir, cualquier organización que tenga implantado un

SGSI según este modelo puede solicitar una auditoría extrema por parte de una entidad

acreditada, y tras superar con éxito la misma, recibir la certificación ISO 27001.

Su origen está en la norma BSI (British Standars Institution) BS7799- Parte 2, norma que

fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la

adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre del 2005. (ISO 27000.ES,

2018)

ISO 27001 puede ser implementada en cualquier tipo de organización con o sin fines de

lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del

mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de



20

la información en una organización. También permite que una empresa sea certificada; esto

significa que una entidad de certificación independiente confirma que la seguridad de la

información ha sido implementada en esa organización en cumplimiento con la norma ISO

27001. (Advisera, s.f.)

ISO 27001:2005 / ISO/IEC 27001:2013

(ISOTools Excellence, 2015) La norma ISO 27001 en su primera versión fue publicada

en el 2005, luego realizaron una actualización en el año 2013 según lo describe el Blog

especializado en Sistemas de Gestión de Seguridad de la Información.

La norma ISO 27001:2013 es la primera revisión del estándar internacional ISO 27001.

La revisión se ha llevado a cabo tomando la experiencia práctica de la utilización de la norma

durante estos años. Ha habido dos influencias principales para llevar a cabo la revisión.

La primera influencia es la necesidad de que todas las normas ISO deben cumplir con la

estructura de alto nivel denominada “Anexo SL”, la conformidad con dichos requisitos generarán

una tendencia a hacer que todos los Sistemas de Gestión de las normas tengan el mismo aspecto,

con la principal intención de que la integración de los diferentes sistemas de gestión sean mucho

más fácil.

La segunda influencia es por la necesidad de alinear la norma ISO-27001 con todos los

principios y la orientación dada por la norma ISO 31000 de Gestión de Riesgo. Es bueno para la

integración de sistemas, ya que una organización puede aplicar la misma metodología de

evaluación de riesgo mediante diferentes disciplinas.



21

Figura 2 Cambios Estructurales en la Norma ISO 27001

Fuente: slideshre.net

Autor: (Colmenares, 2014)

El resultado de la revisión es que una enorme diferencia entre la norma ISO27001:2013 y

la norma ISO-27001:2005. Ahora no se duplican requisitos, permite una mayor libertad de

elección sobre cómo poner en práctica la norma. (ISOTools Excellence, 2015)

Ciclo Deming

(Idi, 2016) El ciclo de mejora continua, PDCA, también conocido como Círculo de

Deming, por ser Edwards Deming su autor. Es una metodología de gestión que describe los

cuatro pasos esenciales que deben llevarse a cabo de forma sistemática para lograr la mejora

continua en la gestión.



22

El círculo Deming lo forman 4 etapas cíclicas, de modo que una vez terminada la etapa

final se debe volver a la primera y repetir el ciclo de nuevo, así las actividades son reevaluadas

periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada

principalmente para ser utilizada en empresas y organizaciones a la hora de afrontar un cambio

estratégico.

Figura 3. Ciclo Deming.

Fuente: Ipea Instituto de Productividad Empresarial Aplicada.

Planificar (Plan): buscar las actividades susceptibles de mejora y establecer los objetivos

a alcanzar.

Hacer (Do): realizar los cambios para implementar la mejora propuesta.

Controlar (Check): una vez implantada la mejora, se establece un periodo de prueba para

verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales deberá

modificarse para ajustarla a los objetivos esperados.

Actuar (Act): finalmente, una vez finalizado el periodo de prueba se han de estudiar los

resultados y compararlos con el funcionamiento de las actividades antes de implantar la mejora.



23

Método Magerit

El método MAGERIT son las siglas de Metodología de Análisis y Gestión de Riesgo de

los Sistemas de Información de las administraciones, dicho método cubre la fase ARG (Análisis

y Gestión de Riesgo). Si hablamos de la gestión global de la seguridad de un Sistema de

Seguridad de la Información basado en ISO 27001, MAGERIT, es el núcleo de toda actuación

organizada en dicha materia, ya que influye en todas las fases que sean de tipo estratégico y se

condiciona la profundidad de las fases de tipo logístico.

El Consejo Superior de Informática ha sido encargado de elaborar la primera versión de

MAGERIT, con lo que promueve su utilización como respuesta a la dependencia creciente de

toda la sociedad respecto a las tecnologías de la información. (Blog especializado en Sistemas de

Gestión , 2015)



24

CAPÍTULO 3 DISEÑO METODÓLOGICO

El enfoque del presente trabajo de investigación es de tipo cualitativo y exploratorio,

puesto que se realiza mediciones específicas de la seguridad que mantiene la información en el

Consorcio Metro-Bastión y se compara con los requerimiento de la norma ISO/IEC 27001:2013,

para conocer la desviación frente a los requisitos que la norma establece y poder corregirlos,

además esta investigación sirve de base para nuevos estudios a futuro sobre la seguridad de la

información en función de la constante mejora.

Esta investigación también es de tipo cuantitativa, ya que se realizó una encuesta para

determinar si el personal de trabajo de Metro-Bastión estaría de acuerdo en desarrollar un SGSI.

3.1. Tipo de Estudio:

Bibliográfica o Documental

Se utilizará como fuente de información trabajos escritos preliminares como tesis, artículos

científicos, revistas, etc. Las cuáles serán de gran ayuda para la obtención de información y para

la construcción del marco teórico para el presente trabajo, además servirán para conocer los

resultados de estudios previos sobre la recolección de información como medio para solucionar

un determinado problema.

Investigación de Campo

Según los autores Palella y Martins (2010) define:

La investigación de campo consiste en la recolección de datos directamente de la realidad

donde ocurren los hechos, sin manipular o controlar las variables. Estudia los fenómenos sociales



25

en su ambiente natural. El investigador no manipula variables debido a que esto hace perder el

ambiente de naturalidad en el cual se manifiesta.

La investigación de Campo está enfocada en la aplicación de encuestas a los trabajadores

del Consorcio Metro-Bastión, dicha encuesta cuenta con varias preguntas orientadas a la

recolección de información para conocer si creen que un SGSI ayudará a mejorar sus procesos y

por ende ayudará la mejor protección de sus activos de información.

Investigación Descriptiva

Según el autor (Arias, 2012, pág. 24) define:

La investigación descriptiva consiste en la caracterización de un hecho, fenómeno,

individuo o grupo, con el fin de establecer su estructura o comportamiento. Los resultados de

este tipo de investigación se ubican en un nivel intermedio en cuanto a la profundidad de los

conocimientos se refiere.

Se pretende realizar una investigación de tipo descriptiva ya que por medio de las

encuestas se procura saber si el personal del Consorcio Metro-Bastión tiene conocimiento de la

importancia que debe tener la información y así poder considerar el diseño de un sistema de

gestión de seguridad de la información que permita mantener los principios básicos de la

seguridad que son, la disponibilidad, integridad y confidencialidad de la información y por

medio de estos resultados brindar una sólida propuesta de mejora continua para lograr

salvaguardar la información.



26

3.2. Población y la Muestra.

La población será considerada como el total de empleados pertenecientes al Consorcio

Metro-Bastión, estos individuos serán el objeto de estudio, en el caso de que dicha población

supere las 100 unidades se procederá a realizar una selección de muestra significativa en base a

un procedimiento de selección estadístico. Esta muestra será considerada como representativa del

total ya que se toma o se separa de ella con ciertos métodos para someterla a un estudio mediante

la aplicación de encuestas.

3.2.1. Población:

Según Tamayo (2012) señala que la población es la “Totalidad de un fenómeno de

estudio, incluye la totalidad de unidades de análisis que integran dicho fenómeno y que debe

cuantificarse para un determinado estudio integrando un conjunto de N de entidades que

participan de una determinada característica, y se denomina la población por construir la

totalidad del fenómeno adscrito a una investigación”.

El Consorcio Metro-Bastión cuenta con un total de 421 empleados divididos en los

siguientes departamentos: Junta General y Gerencia, Operaciones, Recaudaciones, Bodega,

RRHH, Contabilidad, Control de Activos, Mantenimiento, Infraestructura.



27

Tabla 1. Población

Número Total de Empleados del Consorcio Metro – Bastión

Departamento N° de Empleados

Junta General y Gerencia 18

Operaciones 326

Recaudaciones 4

Bodega 5

RRHH 4

Contabilidad 3

Control de Activos 7

Mantenimiento 50

Infraestructura 4

Total 421

Elaborado por: Autores (2018)

Fuente: Consorcio Metro - Bastión

3.2.2. La Muestra

Según (Hernández, 2008 p.52) dice que “La muestra en el proceso cualitativo es un grupo

de personas, eventos, sucesos, comunidades, etc., sobre el cual se habrán de recolectar los datos,

sin que necesariamente sea representativo del universo o población que se estudia”.

Del total de empleados se pretende del Consorcio Metro-Bastión se pretende tomar como

muestra a 20 empleados pertenecientes a los siguientes departamentos RRHH, Contabilidad,

Seguridad, Compras, Mantenimiento y Bodega estos fueron escogidos mediante la aplicación del

método aleatorio simple.



28

Tabla 2 Muestra de la investigación

Departamento N° de Empleados Mujeres No. Hombres No.

RRHH 3 2 1

Contabilidad 3 3 0

Seguridad 3 3

Compras 3 3

Mantenimiento 4 3 1

Bodega 4 0 4

Total 20 20



3.2.3. Técnicas de recolección de datos

Para la recolección de información se utilizará la metodología cuantitativa ya que se

aplicaran encuestas a los empleados escogidos como muestra pertenecientes a los departamentos

de RRHH, Contabilidad, Seguridad, Compras, Mantenimiento y Bodega.

Adicionalmente también se recopilará información del actual estado de cumplimiento de

la norma ISO/IEC 27001:2013 en el que el Consorcio Metro-Bastión se encuentra.



29

Plan para la recolección de la información

Tabla 3 Recolección de la Información

PREGUNTAS BÁSICAS EXPLICACIÓN

1. ¿Para qué? Para determinar la seguridad de la

información y la opinión de los empleados

sobre la creación de un sistema de gestión de

seguridad de la información.

2. ¿De qué personas u objetos? Empleados escogidos como muestra del

Consorcio Metro – Bastión.

3. ¿Sobre qué aspectos? Seguridad de la Información

ISO/IEC 27001:2013

Diseño de un sistema de gestión de

seguridad de la información.

4. ¿Quién?, ¿quiénes? Investigadoras

5. ¿Cuándo? Julio 2018

6. ¿Dónde? Consorcio Metro – Bastión.

7. ¿Cuántas veces? 1

8. ¿Qué técnicas de recolección? Aplicación de encuestas

9. ¿Con qué? Registro fotográfico.

10. ¿En qué situación? Jornada de trabajo y horarios de descanso.





30

Modelo de encuesta

Figura 4. Modelo de encuesta realizada


Fuente: Consorcio Metro - Bastión.

INSTRUCCIONES

1. ¿Cree usted que la información es el activo más importante para la empresa?

¿Por qué?

2. ¿Cree usted que es de suma importancia para el funcionamiento del consorcio mantener la información a salvo?

¿Por qué?

3. ¿Conoce usted la existencia de la norma ISO/IEC 27001:2013 y de su contribución a que la informacón sea más segura?

4. ¿Cree usted que la norma internacional ISO/27001:2013 debe integrarse al departamento de Sistemas del Consorcio?

¿Por qué?

5. ¿Cree usted que un Sistema de Gestión de Seguridad de la información ayudará al Consorcio Metro-Bastión a mantener

la información y los recursos de información a salvo de manera óptima?

¿Por qué?

6. ¿Cree usted que aplicando el Sistema de Gestión de Seguridad de la Informacón basado en la norma ISO/IEC 27001:2013

se obtendrá la confidencialidad, integridad y disponibilidad de la información?

¿Por qué?

7. ¿Cree usted que es importante implementar más politicas de seguridad que permitan garantizar que la información esté

totalmente segura?

¿Por qué?

8. ¿Cree usted que el consorcio Metro-Bastión deba considerar el diseño del Sistema de Gestión de Seguridad de la

¿Por qué?

información para proteger sus activos de información?

Unversidad de Guayaquil

Encuesta

Tema: Diseño de un Sistema de Gestión de Seguridad de la

Información alineado bajo la norma ISO/IEC 27001:2013 para el consorcio Metro-Bastión

Objetivo: Obtener la información más sincera de su punto de vista sobre la pregunta formulada, es importante mencionar que el llenado del mismo es de

1. Escuche y/o lea detenidamente las preguntas a realizarse.

2. Escriba con letra legible y clara sobre las líneas de la misma pregunta, su punto de vista.

3. Por favor consigne su respuestas a las preguntas descritas a continuación.

SI NO

1.Sí

2. Indiferente

3. No

1.Sí

2. No

3. Indiferente x

SI NO

1.Sí

2. No

3. Indiferente

1.Sí

2. No

3. Indiferente

1.Sí

2. No

3. Indiferente

1.Sí

2. No

3. Indiferente



31

3.2.4. Procesamiento de Datos y Análisis de Datos

Según el portal en internet (Universidad Santos Tomas, 2004) su redacción de estudio dice

que la investigación cuantitativa asume el método estadístico como proceso de obtención,

representación, simplificación, análisis, interpretación y proyección de las características,

variables o valores numéricos de un estudio o de un proyecto de investigación para una mejor

comprensión de la realidad y una optimización en la toma de decisiones.

3.2.5. Procesamiento de Datos

Los datos escogidos se procesaran en base a los siguientes procedimientos

Revisión crítica de la información recolectada tanto en el diagnóstico de

cumplimiento de la norma ISO/IEC 27001:2013 y en las encuestas al personal de

cada departamento. Esto con la finalidad de conocer los incumplimientos de la

misma y proceder a mejorar para cumplir con el diseño del SGSI.

Levantamiento de información e identificación de activos de información del

Consorcio Metro-Bastión

Almacenamiento de la información para su posterior tabulación

Tabulación de la información.

Estudio estadístico de datos para presentación de resultados

3.2.6. El análisis de datos

Análisis de los resultados estadísticos destacando tendencias o relaciones

fundamentales de acuerdo con los objetivos e hipótesis.

Interpretación de los resultados.

Establecimiento de conclusiones y recomendaciones.



32

3.2.6.1.Métodos utilizados

Método Analítico

Según (Ortiz & García, 2005) dice que:

El método analítico es aquel método de investigación que consiste en la desmembración de

un todo, descomponiéndolo en sus partes o elementos para observar las causas, la naturaleza y

los efectos. El análisis es la observación y examen de un hecho en particular

Es necesario conocer la naturaleza del fenómeno y objeto que se estudia para comprender

su esencia. Este método nos permite conocer más del objeto de estudio con lo cual se puede:

explicar, hacer analogías, comprender mejor su comportamiento y establecer nuevas teorías.

Se utilizará este método ya que permite analizar las variables descomponiéndolas en sus

partes para su mejor manejo. Además de llegar a conocer mediante el diagnóstico realizado las

principales falencias en los procesos de seguridad de la información.

Método Inductivo Deductivo

Según el portal de internet Definición.De (Pérez Porto & Merino, 2012)

El método deductivo es un método científico que considera que la conclusión se halla

implícita dentro de las premisas, esto quiere decir que las conclusiones son una consecuencia

necesaria de las premisas: cuando las premisas resultan verdaderas y el razonamiento deductivo

tiene validez, no hay forma de que la conclusión no sea verdadera.

Mediante este proceso se puede llegar al conocimiento y a la demostración de las variables

de estudio y al ser comprobadas se puede dar una conclusión general.



33

3.2.7. Análisis de los Resultados

3.2.7.1.Encuesta

En este apartado se muestran los resultados encontrados por medio de la encuesta, la cual

se realizó para dar a conocer si el personal que maneja la información en el Consorcio Metro-

Bastión está de acuerdo con realizar un diseño de Gestión de Seguridad de la Información.

1. ¿Cree usted que la información es el activo más importante para la empresa?

Tabla 4 Tabulación pregunta 1 de la encuesta.

Frecuencia Porcentaje

Sí 18 90%

No 2 10%

Total 20 100%



Gráfico 1 Pregunta 1 Encuesta.


Análisis e Interpretación

Se puede determinar el 90% del personal encuestado que maneja la información del Consorcio

Metro-Bastión es consciente que la información es un activo crucial ya que la filtración de la

información puede generar daños costosos para la empresa, y tan solo un 10% cree que no es tan

importante.

Si90%

No10%

LA INFORMACIÓN ES EL ACTIVO MÁS IMPORTANTE PARA LA EMPRESA.



34

2. ¿Cree usted que es de suma importancia para el funcionamiento del Consorcio mantener

la información a salvo?

Tabla 5 Tabulación pregunta 2 Encuesta.


Si 16 90%

No 4 10%

Total 20 100%






Se observa que el 80% de los encuestados está de acuerdo con que mantener la

información del Consorcio a salvo es de suma importancia para el correcto funcionamiento ya

que con información confidencial es menor la probabilidad que existan problemas, disminuyendo

así el riesgo.

Sí 80%

No20%

IMPORTANCIA DE MANTENER LA INFORMACIÓN A SALVO



35

3. ¿Conoce usted la existencia de la Norma ISO/IEC 27001:2013 y de su contribución a que

la información sea más segura?



Sí 16 90%

No 4 10%

Total 20 100%






Los encuestados mencionan que un 95% sí tienen conocimientos sobre la norma ISO/IEC

27001:2013 y de su contribución a que la información sea más segura, mientras que un 5% no

tiene conocimiento de la misma. La mayoría los encuestados conocen la norma y alguno de ellos

respondieron que es importante cumplir con todos los requisitos que la norma dispone para

mantener la información protegida de constantes amenazas.

Sí 95%

No5%

CONOCIMIENTO DE LA NORMA ISO/IEC 27001:2013 EN EL CONSORCIO METRO-BASTIÓN



36

4. ¿Cree usted que la Norma Internacional ISO/IEC 27001:2013 debe integrarse al

departamento de Sistemas del Consorcio?



Sí 15 75%

Indiferente 5 25%

Total 20 100%



Gráfico 4 Pregunta 4 encuesta.



El 75% de los encuestados cree que sí se debe integrar la norma en el departamento de

Sistemas del Consorcio Metro-Bastión, y con ello ponerla en práctica y mejorar la seguridad de

la información. Por otro lado un 25% de los encuestados toma como indiferente la decisión de

establecer la norma en el departamento de sistemas.

Sí 75%

Indiferente25%

DEBE INTEGRARSE LA NORMA ISO/IEC 27001:2013 AL DPTO. DEL CONSORCIO



37

5. ¿Cree usted que un Sistema de Gestión de Seguridad de la Información ayudará al

Consorcio Metro-Bastión a mantener la información y los recursos de información a

salvo de manera óptima?

Tabla 8 Tabulación pregunta 5 encuesta


Sí 11 55%

No 3 15%

Indiferente 6 30%

Total 20 100%






Luego de aplicar la respectiva encuesta se encuentra que el 55% menciona que el SGSI sí

ayudará al Consorcio a mantener a salvo la información y los recursos de información, un 30%

no le da importancia y menciona que es indiferente y un 15% no cree que el SGSI ayude a

mantenerla a salvo. Se determina que la mayoría da una opinión positiva ya que tienen

conocimientos de los beneficios a obtener al integrar el SGSI.

Sí 55%

No15%

Indiferente 30 %

EL SGSI AYUDARÁ AL CONSORCIO A MANTENER LA INFORMACIÓN Y RECURSOS A SALVO DE MANERA OPTIMA



38

6. ¿Cree usted que aplicando el SGSI basado en la norma ISO/IEC 27001:2013 se obtendrá

la confidencialidad, integridad y disponibilidad de la información?



Sí 15 54%

No 3 40%

Indiferente 2 10%

Total 20 100%






Los resultados de la encuesta muestran que un 75% de los encuestados dan una respuesta

positiva y cree que mediante la aplicación del SGSI al departamento la información cumplirá con

los principios de seguridad, mientras que un 25% no está convencido de que se cumpla debido a

que no todos tienen conocimiento de los beneficios que generaría el diseño del SGSI.

Sí 75%

No15%

Indiferente 10%

CON LA APLICACIÓN DEL SGSI SE OBTENDRÁ C.I.D. DE LA INFORMACIÓN



39

7. ¿Cree usted que es importante implementar más políticas de seguridad que permitan

garantizar que la información esté totalmente segura?

Tabla 10 Tabulación pregunta 7 encuesta.


Sí

No

20

0

100%

0%

Total 20 100%






Los resultados de la encuesta mostraron que la totalidad de los encuestados están de

acuerdo con que se incremente más políticas de seguridad que permitan garantizar la seguridad

de la información y esto se debe a la necesidad de resguardar la información empresarial.

Sí100%

no0%

ES IMPORTANTE IMPLEMENTAR MÁS POLÍTICAS DE SEGURIDAD



40

8. ¿Cree usted que el Consorcio Metro-Bastión deba considera el diseño del SGSI para

proteger sus activos de información?

Tabla 11 Tabulación pregunta 8 encuesta.


Sí 15 75%

No 4 20%

Indiferente 1 5%

Total 20 100%






Se determina que el 75% de los encuestados tiene claro que es importante tener un SGSI

que permita mitigar la probabilidad del riesgo. Por otro lado el 25% cree que la información está

a salvo bajo las medidas de seguridad con las que ya cuenta el Consorcio Metro-Bastión.

Sí 75%

No20%

Indiferente 5%

EL CONSORCIO DEBE CONSIDERAR EL DISEÑO DE SGSI PARA PROTECCIÓN DE ACTIVOS



41

3.2.7.2. Diagnóstico

Diagnóstico de cumplimiento de la Norma ISO/IEC 27001:2013 en el Consorcio Metro-

Bastión

A continuación en las siguientes tablas se mostrará un resumen del diagnóstico de

cumplimiento de la norma ISO/IEC 27001:2013 realizado en el Consorcio Metro-Bastión en el

cual se sugieren las acciones correctivas y preventivas para optimizar el cumplimiento de la

misma.


Tabla 12 Cumplimiento del punto 4. Contexto de la Organización.

DIAGNÓSTICO DE CUMPLIMIENTO

NORMA ISO 27001:2013 EN CONSORCIO

METRO-BASTIÓN

CUMPLIMIENTO ACCIÓN CORRECTIVA

INMEDIATA

ACCIÓN

PREVENTIVA

INMEDIATA

4 CONTEXTO DE LA

ORGANIZACIÓN

SI NO

4.1 Conocimiento de la organización y su

contexto

1

4.2 Conocimiento de las necesidades y

expectativas de las partes interesadas

1

4.3 Determinación del alcance del sistema de

seguridad de la información

1 El Consorcio debe

elaborar registros donde

establezca

1.-Los asuntos internos

y externos de la

organización.

2.- Las partes

interesadas que son

relevantes en el SGSI.

Debe presentar

mensualmente

los registros y

deben ser

aprobados

4.4 Sistema de Gestión de la Seguridad de la

Información

1 Debe elaborar un

registro donde la

organización se

comprometa a

establecer, implementar,

mantener, y mejorar

continuamente al

Sistema de Información.




42

Gráfico 9. Cumplimiento de Contexto de la Organización.


Análisis e Interpretación de resultados

De acuerdo al diagnóstico realizado el consorcio Metro-Bastión solo tiene un 44 % de

cumplimiento de la norma ISO/IEC 27001 y un 56% de incumplimiento, por lo cual se debe

desarrollar las acciones correctivas y preventivas mencionadas para lograr un mejor

conocimiento de la organización y de sus partes.

cumplimientos44%

incumplimientos56%


cumplimieto incumplimiento



43

5. Liderazgo

Tabla 13 Cumplimiento del punto 5. Liderazgo.

DIAGNÓSTICO DE CUMPLIMIENTO

NORMA ISO 27001:2013 EN

CONSORCIO METRO-BASTIÓN CUMPLIMIENTO

ACCIÓN CORRECTIVA INMEDIATA

ACCIÓN

PREVENTIVA

INMEDIATA

5 Liderazgo SI NO 5.1 Liderazgo y compromiso 1

5.2 Política 1 Se encontraron algunos

puntos de las políticas que el

Consorcio sí cumple con la

norma pero se recomienda

establecer las políticas que

determinen los objetivos de

seguridad ya que el

Consorcio no cuenta con

éstas.

Se debe verificar

el cumplimiento

de las políticas

de seguridad que

se

implementaran.

5.3 Funciones, responsabilidades y

autoridad de la organización

1 El Consorcio debe establecer

los roles y responsabilidades

de la seguridad de la

información a personal que

forme parte del SGSI, y

elaborar un informe donde

detalle el desempeño del

SGSI a la alta gerencia.

Llevar el control

periódico del

informe

realizado.




44

Gráfico 10. Cumplimiento de Liderazgo.



En este punto vemos que el Consorcio Metro-Bastión sí cuenta con un buen porcentaje de

cumplimiento, ya que tiene un 67% es decir, más de la mitad, lo cual es de gran beneficio para el

Consorcio permitiendo así facilitar el desarrollo del sistema de gestión de seguridad de la

información. Se deben llevar a cabo las medidas correctivas y preventivas para cumplir al 100%

los requisitos que dicta esta norma.

Cumplimientos67%

Incumplimientos33%

5. Liderazgo

Cumplimientos Incumplimientos



45

6. Planificación

Tabla 14 Cumplimiento del punto 6 Planificación.

DIAGNÓSTICO DE

CUMPLIMIENTO NORMA ISO

27001:2013 EN CONSORCIO

METRO-BASTIÓN

CUMPLIMIENTO

ACCIÓN CORRECTIVA

INMEDIATA

ACCIÓN

PREVENTIVA

INMEDIATA

6 Planificación SI NO

6.1 Acciones para enfrentar los

riesgos y las oportunidades

General

1 El Consorcio debe elaborar

documentación donde:

1. se detalle la

identificación de los

riesgos, que permitan

reducir los efectos

indeseados

2. Asignar responsables y,

3. evaluar la efectividad de

las acciones

Establecer la

planificación

como un

documento

oficial,

aprobado y

comunicado a

toda la

organización

para el

establecer la

cultura de la

planificación. 6.1.2

Evaluación de los riesgos de


1 El Consorcio cumple, pero

falta la documentación que

identifique, analice y

determine los niveles de

riesgos que pueden

ocasionarse en el proceso

de alcance de objetivos del

SGSI, Documentar los

resultados del análisis de

los riesgos con los criterios

para el desempeño de las

evaluaciones.

Hacer

evaluaciones

periódicas de

los riesgos de

seguridad

6.1.3

Tratamiento de los riesgos de la

seguridad de la Información

1 Elaborar una

documentación donde

detalle un plan de acción

para mejorar la seguridad

de la información y reducir

el riesgo.

Mantener

actualizado el

plan de acción

que permita

reducir el

riesgo

6.2

Objetivos de Seguridad de la

Información y la planificación

para alcanzarlos

1 Elaborar documentación

que establezca los objetivos

de seguridad de la

información donde se tome

en cuenta los requisitos del

SGSI.

Actualizar

periódicamente

los objetivos de

la política de

información




46

Gráfico 11. Cumplimiento de Planificación.



De acuerdo a los resultados obtenidos el Consorcio Metro-Bastión no cumple con una

planificación adecuada para mantener la seguridad a salvo y no mantiene un plan de tratamiento

de riesgos para mitigar las amenazas a la que la información es vulnerable, como se muestra en

el gráfico solamente hay un 34 % de cumplimiento de la norma, mientras que el 66 % es de

incumplimiento, lo cual afecta mayormente a mantener la integridad, disponibilidad y

confidencialidad de la información.

Cumplimientos34%

Incumplimientos66%

6. PLANIFICACIÓN




47

7. Apoyo y Soporte

Tabla 15 Cumplimiento de punto 7 Apoyo y Soporte.

DIAGNÓSTICO DE



METRO-BASTIÓN

CUMPLIMIENTO

ACCIÓN CORRECTIVA

INMEDIATA

ACCIÓN

PREVENTIVA INMEDIATA

7 Apoyo y Soporte SI NO

7.1

Recursos

1

7.2

Competencia

1 El Consorcio debe

elaborar documentación

donde se evidencie que ha

existido capacitación al

personal en seguridad de

la información.

Realizar

capacitaciones

periódicas.

7.3

Concientización

1

7.4

Comunicación

1

7.5

Documentación de la

información

1 Elaborar los documentos

necesarios que debe estar

en el SGSI requerida por

la Norma Internacional.

Controlar la

evaluación de

cumplimiento

y su debida

aplicación. Elaborado por: Autores (2018)



48

Gráfico 12. Cumplimiento Apoyo y Soporte.



Se obtuvo un 57 % de incumplimiento de la norma y un 43 % de cumplimiento, la gran

parte de No conformidades encontradas es que el Consorcio no cuenta con la documentación

necesaria que solicita la norma, por lo cual es de gran importancia que el Consorcio elabore la

documentación adecuada, y se verifique el cumplimiento de la misma.

Cumplimientos43%

Incumplimientos57%

7. Apoyo y Soporte




49

8. Operación

Tabla 16 Cumplimiento punto 8. Operación.

DIAGNÓSTICO DE



METRO-BASTIÓN

CUMPLIMIENTO

ACCIÓN CORRECTIVA

INMEDIATA

ACCIÓN

PREVENTIVA

INMEDIATA

8 Operación

SI NO

8.1

Planificación y control

operacional

1 Cumple pero se

recomienda elaborar la

documentación que

establezca procesos para

el control del SGSI

Mantener un

control

periódico.

8.2

Evaluación de los riesgos de


1 Elaborar documentación

donde se evidencie las

evaluaciones de los

riesgos de SI.

Llevar el

control

periódico de

evaluaciones.

8.3

Tratamiento de los riesgos de la

seguridad de la Información

1 Elaborar y documentar un

plan de tratamiento de

riesgo.

Controlar la

aplicación del

tratamiento de

riesgo. Elaborado por: Autores (2018)



50

Gráfico 13. Cumplimiento Operación.



Se puede apreciar que el Consorcio Metro-Bastión realmente no lleva un plan de

tratamiento de riesgos que permita mitigar los riesgos a los que está expuesta la información,

como se observa en el gráfico existe un 75% de incumplimiento de la norma y tan solo un 25%

de cumplimiento de la misma, es decir la información está en constante riesgo ya que el

Consorcio no maneja un plan de operación que ayude a salvaguardar la información.

Cumplimientos25%

Incumplimientos75%

8. Operación




51

9. Evaluación y Desempeño

Tabla 17 Cumplimiento punto 9. Evaluación y Desempeño.

DIAGNÓSTICO DE



METRO-BASTIÓN

CUMPLIMIENTO

ACCIÓN CORRECTIVA

INMEDIATA

ACCIÓN


9 Evaluación y Desempeño

SI NO

9.1

Monitoreo, medición, análisis y

evaluación

1 El Consorcio no mantiene

un control para evaluar el

desempeño, debe elaborar

documento en el que

definan indicadores para

evaluar el cumplimiento

de cada proceso del SGSI,

que defina quién será el

responsable de realizar el

monitoreo, y cuándo

deberán analizarse los

resultados.

Controlar el

cumplimiento.

9.2

Auditorías internas

1

9.3

Revisión por parte de la

Dirección

1




52

Gráfico 14. Cumplimiento Evaluación del Desempeño.



De acuerdo a los resultados obtenidos el Consorcio cumple con 56% las evaluaciones del

desempeño del SGSI, a pesar que no cuenta con un SGSI completamente desarrollado, mantiene

un buen nivel de evaluaciones que permiten garantizar que la información pueda estar

regularmente protegida mas no completamente. El 44% de incumplimiento que se encontró es

que no existe el monitoreo, medición, análisis ni evaluación de la seguridad de información lo

cual es una debilidad que mantiene la organización.

Cumplimientos56%

Incumplimientos44%

9. Evaluación del desempeño




53

10. Mejora

Tabla 18 Cumplimiento punto 10. Mejora.

DIAGNÓSTICO DE



METRO-BASTIÓN

CUMPLIMIENTO

ACCIÓN CORRECTIVA

INMEDIATA

ACCIÓN


10 Mejora

SI NO

10.

1

No conformidad y acción

correctiva

1 Elaborar documento donde

detalle las acciones

correctivas a realizarse por

las no conformidades

encontradas

Controlar el

cumplimiento

de la misma.

10.

2

Mejora continua 1 Elaborar un plan de mejora

continua del SGSI


Gráfico 15. Cumplimiento Mejora.



El Consorcio Metro-Bastión lleva un control de mejora cumpliendo con el 50 % de la

norma, sin embargo existe el otro 50% de incumplimiento que se genera principalmente por la

falta de documentación de acciones correctivas tomadas, las no conformidades encontradas y los

resultados de las acciones correctivas.

Cumplimientos50%

Incumplimientos50%

10. Mejora




54

Análisis General – ISO/IEC 27001:2013 en Consorcio Metro-Bastión.

Tabla 19 Porcentaje General de cumplimiento e incumplimiento.

CAPÍTULOS Si No

4 Contexto de la Organización 44% 56%

5 Liderazgo 67% 33%

6 Planificación 34% 66%

7 Apoyo y Soporte 43% 57%

8 Operación 25% 75%

9 Evaluación y Desempeño 56% 44%

10 Mejora 50% 50%

PROMEDIO 46% 54%


Gráfico 16. Porcentaje general de cumplimiento de la Norma ISO/IEC 27001:2013.


44%

67%

34%

43%

25%

56%50%

56%

33%

66%

57%

75%

44%50%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

4 Contexto de laOrganización

5 Liderazgo 6 Planificación 7 Apoyo ySoporte

8 Operación 9 Evaluación yDesempeño

10 Mejora

DIAGNÓSTICO DE CUMPLIMIENTO NORMA ISO/IEC 27001:2013 CONSORCIO METRO-BASTIÓN

Si No



55

3.2.8. Discusión de los resultados

Luego de analizar los resultados se puede determinar que la mayoría de los encuestados

consideran que la información es un activo que debe tener prioridad en toda empresa, ya que la

filtración de la información puede generar daños que afecten la continuidad del Consorcio.

Por ese motivo se considera importante salvaguarda del Consorcio permitiendo así un

correcto funcionamiento ya que con información confidencial es menor la probabilidad que

existan problemas porque se disminuye el riesgo. Además es importante destacar que la mayor

parte del personal perteneciente a los departamentos encuestados sí tiene conocimientos

necesarios para reconocer el nivel de importancia de la información, es por esto que gran parte

considera que se debe integrar la Norma ISO/IEC 27001:2013 en su totalidad resguardar la

información óptimamente, ya que, de acuerdo al diagnóstico de cumplimiento realizado se puede

reconocer que el Consorcio Metro-Bastión cumple un 46% de la Norma ISO/IEC 27001:2013 lo

cual no es un mal promedio considerando que llega casi a la mitad del cumplimiento.

Planificación y operación son los puntos de la norma con más incumplimiento

encontrado con lo cual debe establecer las medidas correctivas y preventivas que permitan

mejorar estas debilidades halladas.

Se concluye que el 46% de cumplimiento demuestra que la información no está del todo

salvaguardada lo cual genera un nivel de riesgo representativo y con mayor énfasis en los

puntos de planificación y operación, pero se puede mitigar estas falencias incrementando el

cumplimiento de la norma por medio del SGSI.



56

CAPÍTULO 4 PROPUESTA

4.1. Título de la propuesta

Diseño de un Sistema de Gestión de Seguridad de la Información para el Consorcio

Metro-Bastión disminuyendo los riesgos de la información.

4.2. Objetivo de la propuesta

General

Diseñar un SGSI que permita mejorar la seguridad de la información establecida en

el Consorcio Metro-Bastión alineado con la Norma ISO/IEC 27001:2013.

Específicos

Disminuir los incumplimientos de la Norma ISO/IEC 27001:2013 en el

Consorcio Metro-Bastión.

Asegurar la confidencialidad, integridad y disponibilidad de la información

identificando las amenazas y vulnerabilidades de activos de información

mediante la comparación actual versus el SGSI para el Consorcio Metro-

Bastión.

Identificar, analizar y sugerir la elaboración de las políticas de seguridad de

la información que permitan una mejor protección de la misma.



57

4.3. Justificación de la propuesta

La seguridad óptima de la información es un aspecto crucial que debe ser

considerado en toda empresa, es por ello que el diseño de un Sistema de Gestión de la

Seguridad de la Información (SGSI) para el Consorcio Metro-Bastión es necesario ya que

la norma ISO/IEC 27001:2013 es cumplida en un 43 %, a pesar de que en el presente

estudio no se pretende realizar una implementación de la norma, pero sí se ha trabajado

bajo los requerimientos de la misma, diagnosticando los incumplimientos para mejorar los

procesos que intervienen en el SGSI, el principal motivo por el cual es importante el

diseño del SGSI es mitigar o contrarrestar las amenazas informáticas a la que está expuesta

la información del Consorcio Metro-Bastión, por lo cual se ha realizado un pequeño

análisis de riesgo de los activos con los que cuenta el Consorcio Metro-Bastión, mediante

la metodología de análisis de riesgo Magerit V3, el Consorcio puede adoptar otras

metodologías que existen para el análisis de riesgo de los activos de información, pero

para la presente investigación se ha trabajado bajo este enfoque de riesgo. Es indispensable

que el área de seguridad resguarde los activos más valiosos con los que cuenta el

Consorcio y lograr mitigar los riesgos a los que están expuestos dichos activos.

La presente propuesta beneficiará a la continuidad del Consorcio Metro-Bastión,

los funcionarios del Consorcio deberán en función del Diagnóstico de cumplimiento

ISO/IEC 27001:2013 poner en práctica los procedimientos y políticas a describir en la

propuesta para mejorar la seguridad de la información y por ende proteger a los activos de

las amenazas a las que se encuentran vulnerables, halladas en el presente estudio.



58

4.4. Descripción de la propuesta

Para el diseño del SGSI el Consorcio Metro-Bastión deberá contemplar el desarrollo de

los componentes básicos que debe tener el SGSI.

1. Manual de Seguridad: el cual deberá incluir los documentos en relación al SGSI, es

decir, alcance, funciones, responsables de cada función, políticas, etc. Estos son

considerados como documentos primordiales para el SGSI.

2. En el SGSI también se deberá determinar en forma documentada los

procedimientos que permitan verificar la realización, operación y el control de los

procedimientos de seguridad de la información.

3. Deberá incluir documentación en la cual se describa las actividades relacionadas

con la seguridad de la información por ejemplo, instrucciones, formularios.

4. Registros donde detalle la evidencia del cumplimiento de los requisitos del SGSI.

De acuerdo con el diagnostico de cumplimiento de la norma ISO/IEC 27001:2013 el

Consorcio Metro-Bastión cuenta con documentación definida en el SGSI pero no en su

totalidad, es por eso que se detalla los componentes necesarios para un SGSI.

El portal de ISO 27001 en español dice

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los

siguientes documentos:

Alcance del SGSI: Ámbito de la organización que queda sometido al SGSI,

incluyendo una identificación clara de las dependencias, relaciones y límites que

existen entre el alcance y aquellas partes que no hayan sido consideradas.

Políticas y Objetivos de Seguridad



59

Procedimientos y Mecanismos de control que soportan el SGSI

Enfoque de Evaluación de Riesgo

Informe de Evaluación de riesgo

Plan de Tratamiento de riesgo

Procedimientos documentados

Registros

Declaración de aplicabilidad (SOA -Statement of Applicability-, en sus siglas

inglesas); documento que contiene los objetivos de control y los controles

contemplados por el SGSI, basados en los resultados de los procesos de evaluación

y tratamiento de riesgo, justificando inclusiones y exclusiones. (ISO 27000.ES,

2018)

Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.

60

4.4.1. Diagrama AS IS/ TO BE

Ilustración 1 Diagrama AS IS/TO BE. Procedimientos de seguridad en Consorcio Metro-Bastión.


AS IS TO BE



61

Se ha realizado un diagrama AS IS/ TO BE de los procedimientos de seguridad de

la información. En el diagrama AS IS se detalla los procedimientos de seguridad faltantes

en el Consorcio Metro-Bastón, basados en el diagnóstico de cumplimiento de la norma

ISO/IEC 27001:2013 realizado a la empresa. Por otro lado el diagrama TO BE propuesto,

detalla los procedimientos que contempla la norma para un correcto funcionamiento del

SGSI, el cual es desarrollado en función al ciclo Deming (Plan, Do, Check, Act).

Por tanto de acuerdo al ciclo, los procedimientos se realizan de la siguiente manera:

PLANEAR (PLAN)

Definición de políticas y objetivos: Establecer las políticas y objetivos pertinentes

para gestionar el riesgo y mejorar la seguridad de la información con el fin de

entregar resultados acordes con las políticas y objetivos globales del Consorcio

Metro-Bastión. Ejemplo.

“Consorcio Metro-Bastión debe definir responsabilidades y deberes con respecto

a la seguridad de la información, y asegurar la concientización de empleados y

terceros con respecto a la importancia y el cumplimiento de la normatividad

definida.”

Determinación del Alcance: El alcance está en función a las características del

negocio, activos, tecnología, por lo que procesos finir el alcance no implica abarcar

toda la organización sino los procesos que contengan la información más relevante

para el Consorcio.

Análisis de Activos: Identificación y valoración de los activos de información

pertenecientes al Consorcio. Ejemplo

Activos de información: Libros contables, datos clientes, contratos funcionarios,

contratos con la municipalidad.

Activos de servicio: Mantenimiento de Software, telefonía IP, conexión a internet.



62

Activos Físicos Hardware: Computadoras, UPS, teléfonos, dispositivos de

almacenamiento.

Instalaciones: Departamento de archivo, sala de equipos, sala de junta general.

Personal: Personal de RRHH, personal administrativo, personal de compras,

personal de mantenimiento.

Análisis de Riesgo: Identificación de amenazas, vulnerabilidad de los activos de

información y determinar el impacto causado por los riesgos encontrados. Ejemplo:

Amenaza: Alteración accidental de la información

Vulnerabilidad: Falta de restricción en los archivos y software.

Gestión de Riesgo: En la gestión de los riesgos se implementan las medidas

técnicas y organizativas necesarias para impedir, reducir o controlar los riesgos

analizados e identificados, de forma que las consecuencias que puedan generar

sean eliminadas o, si esto no es posible, se puedan reducir lo máximo posible.

Ejemplo:

Riesgo: Virus a las computadoras

Medidas para eliminar el riesgo: “En todos los equipos del Consorcio Metro-

Bastión se debe instalar y ejecutar el antivirus y actualizarlo para detectar

software maliciosos”

Selección de Objetivos de control: Los controles se seleccionarán e

implementarán para minimizar en lo posible la posibilidad de que los riesgos

detectados en el análisis de riesgos dañen los activos. Ejemplo:

Objetivo de control: Política de seguridad de la Información

Controles: Documento de política de seguridad de la información, revisión de la

política de seguridad de la información.



63

HACER (DO)

Implantación y operación práctica: Seleccionando los controles, procedimientos,

objetivos y políticas pertinentes deben definirse los procedimientos para su

implantación

VERIFICAR (CHECHK)

Monitorización y revisión: Hacer seguimiento de cómo funciona y cómo va

evolucionando el sistema y hacer revisión con el objetivo de asegurarse de que el

SGSI es en todo momento adecuado, apropiado y efectivo para los propósitos y

contexto de la organización.

Realizar auditorías internas del SGSI: Determinar si los objetivos de los

controles, los controles , los procesos y procedimientos están conforme con los

requisitos de la Norma ISO/IEC 27001:2013

ACTUAR (ACT)

Implantar Mejora continua: Implantar medidas correctivas fruto de las

revisiones efectuadas y mejorar así el rendimiento del SGSI.

Acciones correctivas: Acciones que deben tomarse para corregir una no-

conformidad significativa con los requisitos del SGSI

No conformidad: Falta de Plan de Tratamiento de los riesgos de la seguridad de la

Información

Acción Correctiva: Elaborar una documentación donde detalle un plan de acción para

mejorar la seguridad de la información y reducir el riesgo.

Acciones preventivas: Acciones que deben tomarse para eliminar la causa de una

posible no conformidad, es decir, se actúa antes de que ocurra. Ejemplo:

No conformidad: Falta de Plan de Tratamiento de los riesgos de la seguridad de la

Información. Acción Preventiva: Controlar la aplicación del plan de tratamiento de riesgo.



64

4.4.2. Descripción de la Empresa

El Consorcio Metro-Bastión es una persona jurídica de derecho privado y sin fines

de lucro con el objeto de impulsar permanentemente, así como administrar y regular en

forma coordinada el Sistema Integrado de Transporte Urbano Masivo de Guayaquil

“Sistema Metrovía” conformado por las rutas, terminales, paradas, infraestructura y

equipos incorporados al referido sistema.

Fue constituida el 01 de marzo del 2006 a través del aporte de 13 cooperativas de

transporte público urbano que operaban en la ciudad de Guayaquil con la única finalidad

de brindar el servicio de transporte urbano masivo en la troncal 3 (Bastión Popular) del

Sistema Integrado Metrovía de la ciudad de Guayaquil. (MetroVia, 2015)

Misión de Consorcio Metro-Bastión

“Brindar un servicio de transporte urbano de pasajeros en la ciudad de

Guayaquil, con una flota de buses moderna, mediante una labor basada en la

seguridad, puntualidad, honestidad y trato agradable, cumpliendo altos estándares de

calidad, buscando siempre el mayor beneficio para los usuarios e inversionistas,

asegurando el desarrollo sustentable” (MetroBastión, Misión, 2015).

Visión de Consorcio Metro-Bastión

“Ser la operadora líder del ecuador en el servicio de transporte urbano de

pasajeros en el sistema BRT1 guiada por la integridad, el trabajo en equipo y la

innovación de nuestra gente, a través de la mejora continua” (MetroBastión, Visión,

2015).

1 Un sistema BRT (Bus Rapid Transit) es un modo de transporte automotor que utiliza buses operando en carriles con

derecho de paso exclusivo, con el objetivo de aumentar la velocidad comercial, mejorar la confiabilidad de los tiempos

de operación y el confort del pasajero. (Piccirillo, 2012)


65

Organigrama

Figura 5. Organigrama Consorcio Metro-Bastión


Junta General

Apoderado General

Gerente

Representante Técnico (1)

Asesor Legal (2)

Secretaria de Gerencia (1)

Comisario (1)

Gerente de Mantenimiento (1)

Gerente de Operaciones (1)

Jefe de

Bodega (1)

Jefe de Talento Humano (1)

Supervisor de Limpieza de Buses (1)

Ayudante de Bodega

(4)

Contador General (1)

Asistente de Talento

Humano (2)

Coordinador de Mantenimiento (1)

Supervisor de Mantenimiento (3)

Secretaria de Operaciones (1)

Servicios Generales (2)

Jefe de Operaciones (3)

Coordinador de Ruta (3)

Conductor de Bus

Alimentador (172)

Conductor de Bus Articulado

(142)

Carrocero (6)

Técnico Mecánico (3)

Técnico Electromecánico (3)

Operador de Limpieza

de Buses (12)

Despachador de Combustible (2)

ORGANIGRAMA DEL CONSORCIO METRO-BASTIÓN Revisión: 6Fecha: 03-08-2015

Asistente Contable (1)

Jefe de Recaudaciones

(1)

Supervisor de Recaudaciones (1)

Auxiliar Contable (1)

Coordinadora de Compras (1)

Trabajadora Social (1)

Comisión de Compras (3)

Sistema Integrado de Gestión

(6)

Ayudante Carrocero (4)

Mecánico (3)

Ayudante Mecánico (4)

Electromecánico (3)

Jefe de Control de Activos

(1)

Analista de Recaudaciones

(1)

Coordinador de Operaciones (1)

Control Pre Operativo(1)

Supervisor de Oficina de

Recaudaciones (1)

Ayudante de Activos (6)

-------------------------------

Elaborado por:

Jefe de Talento

Humano

-----------------------------

Aprobado por:

Gerente

Jefe de Infraestructura (1)

Inspector de Ruta (3)

Asistente de Mantenimiento (1)

Conductor de patios (1)

Servicios Generales – Mantenimiento (1)

Servicios Generales –

Infraestructura (3)



66

Para el diseño del SGSI se procede a realizar un enfoque de riesgo para el Consorcio

Metro-Bastión que permita dar a conocer los riesgos a los que están expuestos los activos.

4.4.3. Análisis de riesgo

El análisis de riesgo realizado para el Consorcio Metro-Bastión es mediante la

metodología Magerit V3, ya que según (Amutio Gómez, y otros, 2012) dice:

Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se

denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la

Gestión de los riesgos”) dentro del “Marco de Gestión de los riesgos”. En otras palabras

MAGERIT implementa el proceso de Gestión de Riesgos dentro de un marco de trabajo

para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos

derivados del uso de tecnologías de la información.

Se llevan a cabo las siguientes actividades para el enfoque de riesgo:

1. Identificación de Activos: Lista de todos aquellos recursos (Físicos, de

información, software, documentos, servicios, personas, intangibles, etc) dentro

del alcance del SGSI que tengan valor para la organización y necesiten por tanto

ser protegidos de potenciales riesgos. (ISO2700.ES, s.f.)

2. Identificación de Procedimientos y dependencias de Metro-Bastión: Detalla los

procedimientos y quién es el responsable del mismo.

3. Valoración de Activos: Determina el valor del activo detallando el más

importante para el Consorcio.

4. Identificación de Amenazas y Vulnerabilidades: Listado de amenazas a las que se

encuentran expuestas los activos y las vulnerabilidades de los mismos.

5. Evaluación del Impacto: Impacto causado si una vulnerabilidad se materializa.



67

4.4.3.1. Identificación de Activos

Tabla 20 Identificación de Activos. ACTIVOS ESCENCIALES INFORMACIÓN Y SERVICIO

Información

Datos de Clientes

Copias de Seguridad

Información Personal clientes

Información Personal Proveedores

Información Telefónica a Clientes

Información Telefónica Proveedores

Libros contables

Facturas como documento

Hoja de vida funcionarios

Contratos con la municipalidad

Correo electrónico

Software de Mantenimiento

Software contable

Software para documentos electrónicos

Software tributario

Utilitarios Office

Manuales

Base de datos

Servicio

Red local

Cortafuegos

Mantenimiento de Software

Servicios web

Conexión a internet

servicio de telefonía IP

Servicio de Vigilancia

Servicio de Alarma

Aire acondicionado

Servicio de Telecomunicaciones

Servicio de Energía eléctrica

ACTIVOS FÍSICOS /HARDWARE

Computadoras

UPS

servidores

Reuters

teléfonos

Dispositivos de Almacenamiento

Archivadores

Impresora

Scanner

INSTALACIONES

Departamento de Archivo

Oficinas

Sala de equipos

Sala de junta general

PERSONAL

Personas calificadas con experiencia en los cargos.

Proveedores calificados para su actividad.





68

El alcance del SGSI determina que los activos de información son indispensables para un

correcto diseño del mismo, es por ello que en la tabla anterior (Tabla 20) se han clasificado los

activos de información del Consorcio Metro-Bastión con el fin de proceder a la valoración de los

mismos y conocer los activos más importantes para la organización. Para la identificación de los

activos se adquirieron los datos por parte del Jefe del departamento de Sistemas del Consorcio

Metro-Bastión.

4.4.3.2.Identificación de los procedimientos y dependencias de Metro-Bastión

Tabla 21 Procedimientos y Dependencias

PROCEDIMIENTO DEPENDENCIA DESCRIPCION RESPONSABLE

ATENCIÓN DE

RECLAMOS

Entrada Reclamo del cliente /

Multa de FMV Arq. Edith Manjarres

Gerente de

Operaciones

Salida Reclamo solucionado /

Multa resuelta

Secretaria de

Operaciones

GESTIÓN DE

DOCUMENTOS

Entrada

Requerimientos de

actualización de

documentos

Jairo Baque

Jefe de

Seguridad

Industrial

Entrada

Sugerencias y

oportunidades de

mejora

Jairo Baque

Jefe de

Seguridad

Industrial

Entrada Necesidad de controlar

y mejorar Jairo Baque

Jefe de

Seguridad

Industrial

Salida

Documentos

actualizados y

controlados

Jairo Baque

Jefe de

Seguridad

Industrial

MANTENIMIENTO

DE BUSES

Entrada

Unidad con necesidad

de mantenimiento

preventivo

Mauricio Murgueitio Gerente de

Mantenimiento

Entrada

Unidad con fallas

mecánicas, eléctricas o

de carrocería


Mantenimiento

Salida

Unidad con

mantenimiento

preventivo completada

y operativa


Mantenimiento

MANTENIMIENTO

DE

INFRAESTRUCTURA,

SISTEMAS DE

INFORMACIÓN Y

COMUNICACIÓN

Entrada Necesidad de

Mantenimiento Javier Barba

Jefe de

Infraestructura

Salida

Infraestructura en

buenas condiciones

para la operación

Javier Barba Jefe de

Infraestructura



69

PLANIFICACIÓN Y

CONTROL

GERENCIAL

Entrada Ambiente externo Ab. Juan Carlos

Guevara Gerente General

Entrada Expectativas de los

accionistas

Ab. Juan Carlos


Salida Plan Estratégico Ab. Juan Carlos


Salida Presupuesto y Control

de Ingresos

Ab. Juan Carlos


Salida Presupuesto y Control

de Costos y Gastos

Ab. Juan Carlos


Salida Decisiones gerenciales Ab. Juan Carlos


SELECCIÓN Y

CONTRATACIÓN

Entrada Requisición de

personal Ab. Mireya Peralta Jefe de RRHH

Salida Personal contratado Ab. Mireya Peralta Jefe de RRHH

CAPACITACIÓN Entrada

Requerimiento de

capacitación Ab. Mireya Peralta Jefe de RRHH

Salida Personal capacitado Ab. Mireya Peralta Jefe de RRHH

COMPRAS

Entrada Requerimiento de

compra Mary Flores

Coordinadora de

Compras

Salida Producto / Servicio

comprado y verificado Mary Flores

Coordinadora de

Compras

ALMACENAMIENTO

Entrada Materiales, Repuestos,

Equipos, Herramientas Gilber Macas Jefe de Bodega

Entrada

Repuestos usados,

Herramientas

especiales, Materiales

Gilber Macas Jefe de Bodega

Salida Materiales, Repuestos,

Equipos, Herramientas Gilber Macas Jefe de Bodega

Salida Repuestos para

reparación Gilber Macas Jefe de Bodega

SERVICIO DE

TRANSPORTE

Entrada Usuario con necesidad

de transporte Rafael García

Jefe de

Operaciones

Salida Usuario Transportado Rafael García Jefe de

Operaciones

GESTIÓN DE

RECURSOS DE

INFORMACIÓN

Entrada Adquisición José Villacrés Jefe de Sistemas

Entrada Actualización de la

Web José Villacrés Jefe de Sistemas

Salida Análisis Documental José Villacrés Jefe de Sistemas

Salida Tratamiento Físico José Villacrés Jefe de Sistemas

DIFUSIÓN Y

EXTENSIÓN

Entrada Comunicación con

Usuario y Externo José Villacrés Jefe de Sistemas

Salida Formación de Usuarios José Villacrés Jefe de Sistemas

Salida Base de Datos José Villacrés Jefe de Sistemas





70

En la tabla 21 se detalla los procedimientos que realiza el Consorcio Metro-Bastión y los

responsables encargados de dichos procedimientos. Los datos para realizar dicha tabla fueron

obtenidos por parte del Jefe del Departamento de Sistemas del Consorcio.

4.4.3.3.Clasificación y calificación para valoración de Activos

Tabla 22 Calificación del Valor de Activo según C.I.D.

Clasificación Calificación

Muy alto 5

Alto 4

Medio 3

Bajo 2

Muy bajo 1 Elaborado por: Autores (2018)

Análisis: Posteriormente de haber realizado un inventario de activos pertenecientes al

Consorcio se procede a realizar su valoración, en la siguiente tabla se muestra cómo se califica al

activo según la confidencialidad, integridad y disponibilidad, siendo 1 muy bajo, 2 bajo, 3

medio, 4 alto y 5 muy alto. La sumatoria de la calificación según la confidencialidad, integridad

y disponibilidad dará como resultado el valor del activo.

Tabla 23 Clasificación del Activo

Clasificación Rango

Muy alto 13-15

Alto 10-12

Medio 7-9

Bajo 4-6

Muy bajo 1-3 Elaborado por: Autores (2018)

Análisis: En la Tabla 23 muestra la clasificación del activo según el rango, para conocer

cuán importante es para el Consorcio Metro-Bastión cada activo identificado. El valor del activo

es muy bajo cuando está entre 1 y 3, es bajo cuando está entre 4 y 6, es medio cuando está entre

7 y 9, es alto cuando está entre 10 y 12, y es muy alto cuando está entre 13 y 15. Según la Tabla

24 - cuadro 4.4.2.4 Valoración de Activos.



71

4.4.3.4.Valoración de Activos

Tabla 24 Valoración de Activos de información del Consorcio Metro-Bastión.

ACTIVOS VALORACIÓN

ACTIVOS ESCENCIALES C I D VALOR DEL ACTIVO

ACTIVOS DE INFORMACIÓN Y SERVICIO

Datos de Clientes 3 4 4 11 Alto

Información Personal clientes 4 4 4 12 Alto

Información Personal

Proveedores 4 3 4 11

Alto

Información Telefónica a

Clientes 4 4 4 12

Alto

Información Telefónica

Proveedores 4 3 4 11

Alto

Libros contables 4 4 4 12 Alto

Facturas como documento 4 5 4 13 Muy Alto

Hoja de vida funcionarios 4 4 4 12 Alto

Contratos con la municipalidad 5 4 4 13 Muy Alto

Manuales 3 5 3 11 Alto

SOFTWARE

Software de Mantenimiento 3 3 4 10 Alto

Software contable 4 4 5 13 Muy Alto

Software para documentos

electrónicos 4 4 4 12

Alto

Software tributario 3 3 4 10 Alto

Utilitarios Office 3 3 4 10 Alto

Copias de seguridad 5 4 1 10 Alto

Base de datos 4 4 4 12 Alto

Correo electrónico 3 4 4 11 Alto





72

Gráfico 17 Valoración de Activos de Información del Consorcio Metro-Bastión.


Análisis

De acuerdo a la valoración realizada por el Consorcio Metro-Bastión, este considera más

importante a las facturas como documentos, contratos, software en cuanto a los activo de

información y servicio, calificándolo como Muy Alto, los demás activos de información los

calificaron con valor alto, es decir, el apartado de activos de información y software es de mayor

importancia para el Consorcio.

11 12 11 12 11 12 13 12 1311 10

13 1210 10 10

12 11

Activos de Información/ Software



73

Tabla 25 Valoración de Activos Físicos del Consorcio Metro-Bastión.

ACTIVOS FÍSICOS

HARDWARE

Computadoras 0 2 5 7 Medio

UPS 0 2 5 7 Medio

servidores 4 4 4 12 Alto

Reuters 0 2 5 7 Medio

teléfonos 2 0 5 7 Medio

Dispositivos de Almacenamiento 2 3 3 8 Medio

Archivadores 3 2 4 9 Medio

Impresora 0 0 5 5 Bajo

Scanner 0 0 5 5 Bajo

INFRAESTRUCTURA

Departamento de Archivo 4 4 3 11 Alto

Oficinas 3 4 4 11 Alto

Sala de equipos 4 4 4 12 Alto

Sala de junta general 4 4 4 12 Alto


Gráfico 18 Valoración Activos Físicos.


Análisis:

En el apartado de activos físicos, el Consorcio Metro-Bastión ha valorado como activo más

importante a los servidores con un valor total de 12 en cuanto a la confidencialidad, integridad y

disponibilidad, tomando en consideración que el activo físico es aquel que se caracteriza por

tener un valor intrínseco, los demás activos fueron calificados de valor medio.

7 7

12

7 7 8 9

5 5

11 11 12 12

Valoración de Activos Físicos



74

Tabla 26 Valoración Activos de servicio Consorcio Metro-Bastión.

ACTIVOS DE SERVICIO

Red local 0 0 5 5 Bajo

Cortafuegos firewall 0 0 5 5 Bajo

Mantenimiento de Software 3 3 4 10 Alto

Servicios web 2 2 3 7 Medio

Conexión a internet 0 2 5 7 Medio

servicio de telefonía IP 0 2 5 7 Medio

Servicio de Vigilancia 4 4 4 12 Alto

Servicio de Alarma 3 3 4 10 Alto

Aire Acondicionado 0 0 5 5 Bajo

Servicio de Telecomunicaciones 3 3 3 9 Medio

Servicio de Energía eléctrica 4 4 4 12 Alto


Gráfico 19 Activos de Servicio.


Análisis:

Según la valoración de los activos realizadas para el Consorcio Metro-Bastión el servicio

de vigilancia y energía son los de mayor valor considerándolos como activos de valor Alto, los

activos de servicios nos permiten interacciones y funcionalidades de la gestión de la información.

5 5

10

7 7 7

1210

5

9

12

Activos de servicio



75

Tabla 27 Valoración de Activos personales.

ACTIVOS PERSONALES

Personas calificadas con

experiencia en los cargos 4 5 5 14

Muy Alto

Proveedores calificados para su

actividad 4 4 4 12

Alto



Análisis:

Entre los activos personales que conforman el Consorcio metro bastión las personas

calificadas con experiencia en los cargos es de suma importancia para el Consorcio, ya que cada

una de las personas que trabajan en la organización maneja información crucial que maneja el

Consorcio Metro-Bastión.

14

12

Personas calificadas con experiencia en loscargos

Proveedores calificados para su actividad

Activos Personales



76

Tabla 28 Valoración General activos de Información

ACTIVOS VALOR DEL ACTIVO

ACTIVOS DE INFORMACIÓN Y

SERVICIO 11 Alto

ACTIVOS FÍSICOS

9 Medio

ACTIVOS DE SERVICIO

8 Medio

ACTIVOS PERSONALES

13 Muy Alto


Gráfico 20 Valoración general Activos de Información.


Análisis:

La valoración de los activos de la información del Consorcio Metro-Bastión es primordial

ya que nos permite cuantificar la importancia de los activos de información, para la valoración se

ha considerado tres puntos importantes, confidencialidad, integridad y disponibilidad obteniendo

como resultado que los activos de información y los activos personales son aquellos que el

Consorcio considera más importante..

11

98

13

ACTIVOS DEINFORMACIÓN Y SERVICIO

ACTIVOS FÍSICOS ACTIVOS DE SERVICIO ACTIVOS PERSONALES

Valoración Activos de información Consorcio Metro-Bastión



77

4.4.3.5.Identificación de Amenazas y Vulnerabilidades

Según el Blog especializado en Sistemas de Gestión de Seguridad de la Información (2015)

dice que “Las amenazas son las situaciones que desencadenan en un incidente en la empresa,

realizando un daño material o pérdidas inmateriales de sus activos de información. El Sistema de

Gestión de Seguridad de la Información basado en la ISO 27001 ayuda a controlar las amenazas

que pueden desencadenar los incidentes.”

Según la metodología Magerit las amenazas se clasifican en:

Desastre Natural

De origen industrial

Errores y Fallos no intencionados

Ataques intencionados

Según el mismo Blog dice que la vulnerabilidad de un activo de seguridad es la

potencialidad o la posibilidad de que se materialice una amenaza sobre el activo de información.

A continuación se presenta la tabla con la identificación de amenazas y vulnerabilidades de

los activos del Consorcio Metro-Bastión.

Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio

Metro-Bastión.

78

Tabla 29 Identificación de Amenazas y Vulnerabilidades de los Activos de Información/Software.

Activo

Afectado Tipo de Amenaza REF Amenaza Vulnerabilidad

Activos de

Información

/Software

Desastre Natural

N.1 Fuego Carencia de protección contra fuego.

N.2 Daños por agua Carencia de protección física.

N.3 Otro desastre natural

Condiciones locales donde los activos son afectados

fácilmente.

Errores y Fallos no

intencionados

E.1 Errores de Usuario Falta de conocimiento para el uso de software.

E.2 Errores de Administrador Falta de capacitación del administrador del sistema.

E.8 Difusión de Software dañino Falta de actualización de software antivirus.

E.15 Alteración Accidental de la información Falta de restricción en los archivos y software.

E.18 Destrucción de Información Falta de control.

E.24

Caída del sistema por agotamiento de

recursos Sobrecarga en la utilización del software.

Ataques

Intencionados

A.5 Suplantación de la identidad del usuario

Carencia de mecanismos de identificación y

autenticación.

A.6 Abusos de privilegios de acceso Falta de políticas para asignación de privilegios.

A.7 Uso no previsto Falta de restricción de acceso.

A.11 Acceso no Autorizado Falta de contraseñas seguras para el acceso.

A.15 Modificación deliberada de la información Falta de restricción de acceso.

A.20 Manipulación de programas Falta de seguridad para acceso al software.

De origen Industrial I.5 Avería de origen físico o lógico Falta de mantenimiento del software. Elaborado por: Autores (2018)

Fuente: Magerit V3.


Metro-Bastión.

79

Tabla 30 Identificación de Amenazas y Vulnerabilidades de los Activos de información Físicos Hardware/ Infraestructura.

Activo Afectado Tipo de Amenaza REF Amenaza Vulnerabilidad

Activos Físicos

Hardware/Infraestructura

Desastre Natural





fácilmente.

De origen Industrial

I.3 Contaminación

Mecánica Falta de Mantenimiento.

I.5 Avería de origen

físico o lógico Falta de Mantenimiento.

I.6 Corte de suministro

eléctrico Funcionamiento no confiable de UPS.

I.7

Condiciones

inadecuadas de

temperatura o

humedad

Mal funcionamiento de aire acondicionado.

I.9

Interrupción de otros

servicios y

suministros esenciales

Falta de servicios y suministros de repuesto.

Errores y Fallos no

intencionados

E.2 Errores del

administrador Falta de capacitación del administrador del sistema.

E.23

Errores de

mantenimiento/

actualización de

programas(hardware) Falta de control.

E.25 Pérdida de equipos Falta de seguridad física.

Ataques Intencionados

A.6 Abusos de privilegios

de acceso Carencia de seguridad física.

A.7 Uso no previsto Falta de restricción de acceso.

A.11 Acceso no Autorizado Falta de seguridad física y lógica.

A.25 Robo Falta de seguridad física. Elaborado por: Autores (2018)

Fuente: Magerit V3.


Metro-Bastión.

80

Tabla 31 Identificación de Amenazas y Vulnerabilidades de los Activos de Servicio.


Activos de servicio

Desastre Natural





fácilmente.

De origen Industrial

I.5 Avería de origen físico o

lógico Falta de mantenimiento del servicio.

I.6 Corte de suministro eléctrico Funcionamiento no confiable de UPS.

I.7 Condiciones inadecuadas de

temperatura o humedad Mal funcionamiento de aire acondicionado.

I.8 Fallo de servicio de

comunicaciones Falta de mantenimiento.

Errores y Fallos no

Intencionales E.24

Caída del sistema por

agotamiento de recursos Sobrecarga en la utilización del software.

Ataques Intencionales A.14 Interceptación de

información Comunicaciones sin encriptar. Elaborado por: Autores (2018)

Fuente: Magerit V3, Metro-Bastión.

Tabla 32 Identificación de Amenazas y Vulnerabilidades de los Activos Personales.


ACTIVOS

PERSONALES

Errores y Fallos no

intencionados

E.7 Deficiencias en la organización Falta de capacitación del personal.

E.19 Fugas de Información Personal poco confiable.

E.28 Indisponibilidad del personal No se tiene reemplazo de personal clave. Elaborado por: Autores (2018)

Fuente: Magerit V3.

.



81

4.4.3.6. Impacto por Amenaza

Según el Blog especializado en Sistemas de Gestión de Seguridad de la Información

dice que “El impacto es, la diferencia entre las estimaciones del estado de la seguridad del

activo antes y después de materializarse las amenazas.”

Tabla 33 Impacto.

Cualitativo Cuantitativo Descripción

Leve (L) 1 No hay consecuencias relevantes.

Moderado (M) 2 Tiene consecuencias moderadas.

Grave (G) 3 Tiene consecuencias graves. Elaborado por: Autores (2018)

En la tabla 33 se muestra la clasificación, calificación y la descripción del impacto

que puede causar que una amenaza se materialice en los activos de información.

Tabla 34 Probabilidad de Ocurrencia. (Frecuencia)

Cualitativo Cuantitativo Descripción

Bajo 1 Casi nunca ocurre.

Medio 2 Ocurre a menudo

Alto 3 Ocurre siempre. Elaborado por: Autores (2018)

En la tabla 34 detalla la probabilidad con la que puede ocurrir de una amenaza.

Se van a tratar los riesgos que su valor de riesgo sea superior a 4, el cálculo para el

valor de riesgo es:

V.R= I*F

V.R= Valor de riesgo

I= Impacto

F= Frecuencia


82

Tabla 35 Impacto.

Activo

Afectado

Tipo de

Amenaza REF Amenaza

Frecuencia

Impacto Consecue

ncias del

Impacto

Valor

del

riesgo

Tratami

ento

1 B. 2 M. 3 A.

Activos de

Información

/Software

Desastre Natural

N.1 Fuego 1

3 Grave 3

N.2 Daños por agua 1

3 Grave 3

N.3 Otro desastre natural 1

3 Grave 3

Errores y Fallos

no intencionados

E.1 Errores de Usuario 2

1 Leve 2

E.2 Errores de Administrador 2

1 Leve 2

E.8 Difusión de Software dañino 2

2 Moderado 4

E.15 Alteración Accidental de la información 2

3 Grave 6

E.18 Destrucción de Información 2

3 Grave 6

E.24


recursos 2 2 Moderado

4

Ataques

Intencionados

A.5 Suplantación de la identidad del usuario 1

3 Grave 3

A.6 Abusos de privilegios de acceso 2

2 Moderado 4

A.7 Uso no previsto 2

2 Moderado 4

A.1

1 Acceso no Autorizado 2 2 Moderado

4

A.1

5 Modificación deliberada de la información 1

3 Grave

3

A.2

0 Manipulación de programas 2 2 Moderado

4

De origen

Industrial I.5 Avería de origen físico o lógico

2 2 Moderado

4

Activos Físicos

Hardware/Infra

estructura

Desastre Natural

N.1 Fuego 1

3 Grave 3


3 Grave 3


3 Grave 3

De origen

Industrial

I.3 Contaminación Mecánica 1

2 Moderado 2

I.5 Avería de origen físico o lógico 1

2 Moderado 2

I.6 Corte de suministro eléctrico 1

2 Moderado 2

I.7 Condiciones inadecuadas de temperatura o

humedad 2 2 Moderado

4


83

I.9 Interrupción de otros servicios y suministros

esenciales 2 2 Moderado

4

Errores y Fallos

no intencionados

E.2 Errores del administrador 1

2 Moderado 2

E.23 Errores de mantenimiento/ actualización de

programas(hardware) 2 2 Moderado

4

E.25 Pérdida de equipos 1

3 Grave 3

Ataques

Intencionados

A.6 Abusos de privilegios de acceso 2

2 Moderado 4

A.7 Uso no previsto 2

2 Moderado 4

A.1

1 Acceso no Autorizado

2 3 Grave

6

A.2

5 Robo

1 3 Grave

3

Activos de

servicio

Desastre Natural

N.1 Fuego 1

3 Grave 3


3 Grave 3


3 Grave 3

De origen

Industrial

I.5 Avería de origen físico o lógico 2

2 Moderado 4

I.6 Corte de suministro eléctrico 1

2 Moderado 2

I.7 Condiciones inadecuadas de temperatura o

humedad 2 2 Moderado

4

I.8 Fallo de servicio de comunicaciones 2

2 Moderado 4

Errores y Fallos

no intencionados E.24


recursos 2 2 Moderado

4

Ataques

Intencionados

A.1

4 Interceptación de información 2 2 Moderado

4

Activos

personales

Errores y Fallos

no intencionados

E.7 Deficiencias en la organización 1

3 Grave 3

E.19 Fugas de Información 1

3 Grave 3

E.28 Indisponibilidad del personal 2

2 Moderado 4




84

La Tabla 35(Impacto) muestra el impacto que los activos de Metro-Bastión tendrían

si alguna de las amenazas a las que están expuestos ocurre, y detalla la si la consecuencia

es grave, pintada en rojo, si la consecuencia es leve, pintado en celeste, o es moderada,

pintada en amarillo. De acuerdo al impacto analizado el Consorcio Metro-Bastión deberá

considerar un plan de tratamiento de riesgo que permita aceptar, evitar, mitigar y transferir

el riesgo para la mejor protección de los activos de información.

Tabla 36 Tratamiento de Riesgo.

Activos en riesgo Tipo de

Amenaza REF Amenaza

Tratamiento

Plan de

Monitoreo

Resultado

Esperado A

cep

tarl

o

Evit

arl

o

Mit

igarl

o

Tra

nsf

erir

lo

Activos de

Información

/Software

Desastre

Natural

N.1 Fuego

x

DIARIO.-

Reporte vía

e-mail,

revisión de

procedimie

ntos,

revisión de

Base de

Datos

Reducción

y

disminució

n del

impacto

y/o

probabilida

d

N.2 Daños por agua

x

N.3 Otro desastre

natural x

Errores y

Fallos no

intencionad

os

E.15

Alteración

Accidental de

la información

x

E.18 Destrucción de

Información x

Ataques

Intencionad

os

A.5

Suplantación

de la identidad

del usuario

x

A.1

5

Modificación

deliberada de la

información

x

Activos Físicos

Hardware/Infraestru

ctura

Desastre

Natural

N.1 Fuego

x

DIARIO.-

Revisión del

área, reporte

vía mail,

mantenimie

nto

preventivo

del área

involucrada

Reducción y

disminución

del impacto

y/o

probabilidad

N.2 Daños por agua

x

N.3 Otro desastre

natural x

Errores y

Fallos no

intencionad

os

E.25 Pérdida de

equipos x

Ataques

Intencionad

os

A.1

1

Acceso no

Autorizado x

A.2

5 Robo

x



85

Activos de servicio Desastre

Natural

N.1 Fuego

x

Diario,

reporte vía

mail,

revisión de

equipos de

control y

emergencia

Reducción y

disminución

del impacto

y/o

probabilidad

N.2 Daños por agua

x

N.3 Otro desastre

natural x

Activos personales

Errores y

Fallos no

intencionad

os

E.7 Deficiencias en

la organización x

Diario.-

Revisión de

procedimien

to, reporte

vía mail,

revisión de

Base de

Datos

Reducción y

disminución

del impacto

y/o

probabilidad E.19

Fugas de

Información x


En la tabla 36 (Tratamiento de riesgo) con referencia a las amenazas a las que los

activos de información son vulnerables, se muestra cuáles deben ser tratadas para evitar

que ocurran.

Es importante que el Consorcio Metro-Bastión elabore un plan de tratamiento de

riesgo que permita llevar a cabo para aceptar, evitar, mitigar y transferir el riesgo en los

activos de información, ya que es uno de los requerimientos que exige la norma para

contribuir la mejora continua.



86

4.4.3.7.Políticas de seguridad de la Información

Para alinear la seguridad de la información de Metro Bastión se sugiere la creación

de las políticas para los siguientes puntos:

Todos los colaboradores del Consorcio Metro-Bastión y terceros que

prestan servicios a esta, deben conocer sus funciones y responsabilidades

asociadas con la seguridad de la información.

Uso razonable de los activos de la empresa.

Administración del riesgo en seguridad de la información.

Validación de integridad de la información.

El escritorio de cada computadora debe estar limpio y pantalla despejada.

Control de dispositivos de almacenamiento extraíble.

Restricción de uso de datos personales.

Capacitación y creación de cultura en seguridad de la información.

Definición de Perfiles de Acceso.

Acceso remoto.

Conexión segura de terceros a la red.

Respaldo de información crítica.

Protección física de equipos de cómputo.

Seguridad en correo electrónico.

Validación de datos de entrada en los sistemas de información.

Auditorias y controles periódicos sobre el modelo de gestión de seguridad

de la información.



87

4.5. Impactos de la propuesta

Impacto Económico: Mediante el presente estudio el Consorcio Metro-Bastión

tendrá un impacto económico, ya que al considerar el diseño del SGSI, mediante los

procesos de protección en los activos de información permitirá mantener equilibrado el

bienestar económico, pues la pérdida de la información debido a los riesgos que pueden

presentarse generaría gastos realmente costosos.

Las empresas que logran incorporar la seguridad de información óptima a sus

procesos mediante SGSI establecen y demuestran relaciones de confianza que intensifican

positivamente las actividades comerciales con sus clientes y empresas colaboradoras y

facilitan su propagación a clientes potenciales.

Según (López Neira) en su artículo SGPI: Privacidad y beneficio económico en un

SGSI cita en su investigación un estudio realizado que dice:

“El 29% de los afectados por un fallo de seguridad en el que se comprometen datos

personales se pasaría inmediatamente a la competencia y otro 37% consideraría esa

posibilidad. Solo un 29% esperaría a obtener antes una respuesta de la empresa.”

Es por esto con la introducción de nuevos controles, políticas y procedimientos de

seguridad de la información se asegurará la integridad, confidencialidad y disponibilidad

de la misma reduciendo el nivel de incertidumbre y posibles pérdidas económicas.

Impacto Político Institucional: Mediante la propuesta expuesta se obtendrá un

impacto de crecimiento institucional ya que la seguridad de la información es

indispensable para el Consorcio y por este motivo mediante el diseño del SGSI alineado

bajo los requerimientos de la norma ISO/IEC 27001:2013 el cual pretende establecer un

nivel óptimo de seguridad de la información, de manera que es beneficioso para la



88

institución ya que es necesario que el conocimiento de los trabajadores sea mejorado por

medio de capacitaciones que permitan hacer uso correcto de la de la información y de los

demás aspectos establecidos en la norma.

Según el artículo de (López Neira) dice que un SGSI a nivel interno, se favorece la

relación que la propia empresa establece con sus empleados, la gerencia, los accionistas y

otras partes interesadas y se mejora la eficacia entre distintos, los ámbitos organizativos y

físicos establecidos.



89

4.6. Conclusiones

Gracias a la investigación realizada queda claro que la información es uno de los

activos más importantes en las organizaciones, y la pérdida de los mismos puede afectar en

gran manera a las empresas, es por eso que dentro del estudio realizado al Consorcio

Metro-Bastión se halló mediante el diagnóstico de cumplimientos e incumplimiento de la

norma ISO/IEC 27001:2013, la cercanía que tiene el Consorcio de cumplirla, y mediante

el cual se pudo dar a conocer cuáles son los aspectos que el Consorcio tiene que mejorar

para asegurar el activo más importante de la empresa. El Consorcio Metro-Bastión registró

un 46% de cumplimiento, determinando que los puntos que la norma exige “planificación

y operación” fueron los puntos más débiles, es por ello que se determinó que el Consorcio

Metro-Bastión no cuenta con las medidas y controles necesarios de una forma

documentada, sistemática, estructurada, repetible, eficiente, y adaptada a los cambios que

se produzcan ante el riesgo, el entorno y la tecnología para una correcta protección de la

información.

El diseño del SGSI ayudará a establecer las políticas de seguridad para los activos

que se encuentran más vulnerables, con el objetivo de reducir el riesgo encontrado y

mantener la integridad, confidencialidad y disponibilidad de la información del Consorcio

Metro-Bastión y por ende asegurar la continuidad de la misma.

Finalmente se concluye que mantener la información a salvo de cualquier amenaza

ya sea de tipo: natural, industrial, por error o intencionada, es un aspecto crucial que debe

ser indispensable en toda empresa, por lo cual es importante contar un Sistema de Gestión

de Seguridad de la Información que permita establecer los controles adecuados para

recuperar la información ante una pérdida de la misma.



90

4.7. Recomendaciones

Como recomendaciones se establece que:

Es necesario que el Consorcio Metro-Bastión cuente con un cronograma de

concientización a todos sus empleados, sobre la seguridad de la información

y su importancia.

Hacer un análisis e incrementar las políticas de seguridad de la información

de la empresa, darlas a conocer a cada uno de sus trabajadores llevando un

control de cumplimiento de las mismas.

Establecer mecanismos dirigidos a promover el desarrollo de los sistemas

de información dentro del Consorcio Metro-Bastión.

Identificar brechas e incidente de seguridad de la información.

Por último se recomienda que a un mediano plazo se realice la

implementación de la norma ISO 27001:2013 dentro del Consorcio ya que

es evidente que esta norma ayudará a cumplir con los procesos y controles

adecuados para la protección de la información. Permitiría un ahorro de

recursos económico de aproximadamente un 35% de menos gastos de los

que se incurren en la actualidad.



91

Bibliografía ISOTools Excellence. (21 de Mayo de 2015). Blog especializado en Sistemas de Gestión .

Obtenido de https://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-

la-informacion/

27001 Academy. (s.f.). Advisera. Obtenido de https://advisera.com/27001academy/es/que-

es-iso-27001/

Advisera. (s.f.). Advisera. Obtenido de https://advisera.com/27001academy/es/que-es-iso-

27001/

Amutio Gómez, M. A., Públicas, M. d., Candau, J., Nacional, C. C., Presidencia, M. d., &

Mañas, J. A. (Octubre de 2012). MAGERIT – versión 3.0 Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información. Madrid: Ministerio de Hacienda y

Administraciones Públicas. Obtenido de http://administracionelectronica.gob.es/

Arias, F. G. (2012). El proyecto de investigación Introducción a la Metodología científica.

Episteme.

Blog especializado en Sistemas de Gestión . (16 de Marzo de 2015). Blog especializado en

Sistemas de Gestión . Obtenido de https://www.pmg-ssi.com/2015/03/iso-27001-el-

metodo-magerit/

Chiavenato, I. (2006). Introducción a la Teoría General de la Administración. McGraw-

Hill Interamericana.

Colmenares, Y. A. (28 de Mayo de 2014). SlideShare. Obtenido de

https://es.slideshare.net/yangoalexander/iso-27001-2013

DefiniciónABC. (s.f.). Obtenido de https://www.definicionabc.com/tecnologia/seguridad-

informatica.php

Doria, A. F. (2015). Repositorio Institucional UNAD. Obtenido de

https://repository.unad.edu.co/bitstream/10596/3624/1/1067846426.pdf

Galdámez, P. (2003). Seguridad Informática. Actualidad TIC, 19.

Grupo Control Seguridad . (2010). Grupo Control Seguridad . Obtenido de

https://www.grupocontrol.com/evolucion-de-la-seguridad-informatica

Idi. (06 de Junio de 2016). Instituto de Innovación Empresarial. Obtenido de

http://www.idi.es/index.php/es/crecer-y-consolidar/cambio-estrategico/ciclo-de-mejora-

continua

International Electrotechnical Commission. (2010). International Electrotechnical

Commission. Obtenido de

http://www.iec.ch/about/brochures/pdf/about_iec/iec_welcome_sp_2010_lr_.pdf

ISACA. (2018). ISACA. Obtenido de

https://www.isaca.org/Blogs/282270/archive/2011/04/27/Protecci%C3%B3ndeActivosdeI

nformaci%C3%B3n.aspx

ISO 27000.ES. (2018). EL portal de ISO 27001 en español. Obtenido de

http://www.iso27000.es/sgsi.html

ISO. (s.f.). Organización Internacional para la Estandarizacióm. Obtenido de

https://www.iso.org/about-us.html

ISO TOOLS. (19 de Agosto de 2014). Blog Calidad y Excelencia. Obtenido de

https://www.isotools.org/2014/08/19/iso-27001-activos-informacion-empresa-3/

ISO2700.ES. (s.f.). El portal de ISO 27001 en Español. Obtenido de

http://www.iso27000.es/glosario.html

ISOtools. (19 de Marzo de 2015). ISOtools. Obtenido de

https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-cual-es-su-finalidad/

ISOTools. (28 de Mayo de 2015). ISOTools. Obtenido de

https://www.isotools.org/2015/05/28/la-relacion-entre-calidad-y-mejora-continua/



92

ISOTools Excellence. (18 de Febrero de 2015). SGSI Blog especializado en SIstemas de

Gestión de Seguridad de la Información. Obtenido de https://www.pmg-

ssi.com/2015/02/comparativa-entre-la-iso-270012013-y-la-iso-270012005/

López Neira, A. (s.f.). El portal de ISO 27001 en español. Obtenido de

http://www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf

MetroBastión, C. (2015). Misión. Guayaquil.

MetroBastión, C. (2015). Visión. Guayaquil.

MetroVia, F. (2015). MetroVia. Obtenido de http://www.metrovia-

gye.com.ec/fundacionmetrovia

METROVIA, F. (2015). METROVIA. Obtenido de http://www.metrovia-

gye.com.ec/tiposdetarjeta

Ortiz, F., & García, M. d. (2005). Metodología de la Investigación El proceso y sus

Técnicas. En Metodología de la Investigación El proceso y sus Técnicas (pág. 180).

México: Limusa.

Pallas, G., & Corti, M. E. (s.f.). Criptored. Obtenido de

http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-Sesion3(4).pdf

Peña, A. (2016). Universidad de La Salle. Obtenido de

http://repository.lasalle.edu.co/bitstream/handle/10185/20837/33081276_2016.pdf?sequen

ce=1

Pérez Porto, J., & Merino, M. (2012). Definición.De. Obtenido de Definición.De:

https://definicion.de/metodo-deductivo/

Pérez, J., & Gardey, A. (2012). Definicion.de. Obtenido de https://definicion.de/seguridad/

Piccirillo, J. M. (2012). FACILITACIÓN DEL TRANSPORTE Y EL COMERCIO EN

AMÉRICA LATINA Y EL CARIBE. Boletín Fal, 10. Obtenido de

https://repositorio.cepal.org/bitstream/handle/11362/36157/1/FAL-312-WEB_es.pdf

Universidad Nacional de Luján. (2018). Universidad Nacional de Luján. Obtenido de

http://www.seguridadinformatica.unlu.edu.ar/?q=lexicon/1

Universidad Santos Tomas. (2004). Universidad Santos Tomas . Obtenido de

http://soda.ustadistancia.edu.co/enlinea/Segunda%20unidad%20Cuanti/el_mtodo_estadstic

o.html



I

Glosario

Activo de Información: Recurso de valor para el desarrollo de la actividad propia

de la institución que incluye la gestión de la información, el software para su tratamiento y

los soportes físicos y lógicos de la información. (Universidad Nacional de Luján, 2018)

Amenazas: Evento capaz de atentar contra la seguridad de la información y

provocar incidentes en la organización. (Universidad Nacional de Luján, 2018)

Confidencialidad: La confidencialidad implica que debe protegerse la información

de forma tal que solo sea conocida por las personas autorizadas y se la resguarde del

acceso de terceros. (Universidad Nacional de Luján, 2018)

Disponibilidad: La disponibilidad implica que debe protegerse la información de

forma tal que se pueda disponer de ella para su gestión en el tiempo y la forma requeridos

por el usuario. (Universidad Nacional de Luján, 2018)

Información: Datos relacionados que tienen valor para la organización

Integridad: La integridad implica que debe salvaguardarse la totalidad y la

exactitud de la información que se gestiona. (Universidad Nacional de Luján, 2018)

ISO: International Standard Organization. En español Organización de Estándares

Internacionales. Conjunto de normas orientadas a ordenar la gestión de una empresa.

(ISOtools, 2015)

Riesgo: Es la posibilidad de que una amenaza aproveche una vulnerabilidad y dañe

un activo de información (Universidad Nacional de Luján, 2018)

Seguridad de la Información: Conjunto de metodologías, técnicas, estrategias,

políticas, normas y procedimientos tendientes a minimizar las amenazas y riesgos

continuos a los que está expuesta la información. (Universidad Nacional de Luján, 2018)

S.G.S.I: Sistema de Gestión de Seguridad de la Información.



II

Vulnerabilidad: Debilidad en un activo que lo hace susceptible a ser atacado.

(Universidad Nacional de Luján, 2018)

Alcance: Ámbito de la organización que queda sometido al SGSI. (ISO2700.ES,

s.f.)

Parte interesada: Persona u organización que puede afectar a, ser afectada por o

percibirse a sí misma como afectada por una decisión o actividad. (ISO2700.ES, s.f.)

Mejora continua: Es un proceso que pretende mejorar, los productos, servicios y

procesos de una organización mediante una actitud general, la cual configura la base para

asegurar la estabilización de los circuitos de una continuada detección de errores o áreas de

mejoras. (ISOTools, 2015)

Aceptación del riesgo: Decisión informada de asumir un riesgo concreto.

(ISO2700.ES, s.f.)

Procesos: Conjunto de actividades interrelacionadas o interactuantes que

transforman unas entradas en salidas. (ISO2700.ES, s.f.)

Acción correctiva: Acción para eliminar la causa de una no conformidad y

prevenir su repetición. Va más allá de la simple corrección. (ISO2700.ES, s.f.)

universidad de guayaquil facultad de ciencias …repositorio.ug.edu.ec/bitstream/redug/36876/1/tesis...

Documents