Definicion y Validacion de Procesos de Gestion de Seguridad de La Informacion

UNIVERSIDAD DE CHILE
FACULTAD DE CIENCIAS FISICAS Y MATEMATICAS

DEPARTAMENTO DE CIENCIAS DE LA COMPUTACION

DEFINICIN Y VALIDACIN DE PROCESOS DE GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA LA EMPRESA AMISOFT

TESIS PARA OPTAR AL GRADO DE MAGISTER EN
TECNOLOGIAS DE LA INFORMACION

ANDRES SEBASTIAN MOLINA ORTEGA

PROFESOR GUIA:
MARIA CECILIA BASTARRICA PIEYRO

PROFESO CO-GUIA:
ALCIDES QUISPE SANCA

MIEMBROS DE LA COMISIN:
ALEJANDRO HEVIA ANGULO
RENZO ANGLES ROJAS

SANTIAGO DE CHILE
2015
RESUMEN
Este proyecto toma de base el proceso que ha desarrollado Amisoft para la gestin de los
proyectos y tiene el nombre de Amisoft Process Framework (APF). El APF se encuentra dividido
en tres actividades: Gestin, Ingeniera y Soporte; las cuales han servido para desarrollar
software de alta calidad pero no estn involucrados en la seguridad de la informacin que la
empresa maneja da a da. Por esta razn fue necesario definir una nueva actividad que tenga
que ver con seguridad de la informacin para poder corregir esta debilidad. El objetivo de esta
tesis es definir y validar los procesos necesarios para la gestin de la seguridad de la
informacin en la empresa Amisoft. Estos procesos en una siguiente etapa sern
implementados para que la seguridad de la informacin pueda ser gestionada y la empresa
alcance la certificacin ISO/IEC 27001:2013.
Amisoft tiene experiencia en el manejo de normas puesto que obtuvo la certificacin en la

norma ISO 9001:2008 de calidad junto la evaluacin CMMI nivel 2. Por esta razn se decide
implementar un proceso de seguridad de la informacin usando como referencia la norma
ISO/IEC 27001:2013 para seguridad de la informacin. Con esta premisa el trabajo para esta
tesis consiste en tomar de la norma indicada junto con los controles descritos en la norma
ISO/IEC 27002:2013 todos los procesos que Amisoft considere necesarios para proteger la
informacin de su negocio. A continuacin se evaluar el grado de cumplimiento de los
procesos teniendo 3 posibles opciones: implementado, parcialmente implementado y no
implementado. A los procesos implementados se les dejar intactos o se les agregar
pequeas modificaciones para que cumplan con la norma, los que se encuentran parcialmente
implementados se los complementar con la informacin faltante y los no implementados se
disear completamente el proceso. Una vez finalizada la definicin se realiza un proceso de
verificacin y de validacin con la ayuda de un experto externo a la empresa que indica las
observaciones y no conformidades encontradas en los procesos.
Todos los objetivos de esta tesis se cumplieron logrando as tener una APF que actualmente
posee los procesos para que la informacin de Amisoft sea manejada de una manera segura.
Con esto se puede empezar la implementacin en un proyecto piloto generando mejoras al
proceso de ser necesario y finalmente se logre la implementacin en toda la empresa.

AGRADECIMIENTOS
Dedico este trabajo a mis padres quienes me han entregado las herramientas para poder llegar
hasta este punto de mi vida. Adems, han sido un aporte fundamental para alcanzar este logro
junto con mi familia y en especial a las personas que ahora ya no estn en este mundo conmigo
pero s que en espritu siempre lo estarn.
As tambin, a mis amigos chilenos que fueron surgiendo en esta aventura lejos de mi pas
quienes fueron una distraccin en momentos de estrs. Pero igual a mis amigos ecuatorianos
que a pesar de la distancia siempre estuvieron dndome el apoyo necesario, ms an a
quienes vinieron y se convirtieron una familia para m.
Por otro lado a Amisoft al mando de Moises y Ren, de quienes recib un excelente trato tanto
como trabajador as como persona. Adems me brindaron la oportunidad para realizar este
trabajo con el objetivo de que tanto la empresa como yo podamos ganar con su realizacin.
Por ltimo pero no menos importante agradezco a Cecilia Bastarrica y Alcides Quispe quienes
fueron el pilar fundamental en el desarrollo de esta tesis, quienes con paciencia me brindaron
su gua y conocimientos para poder haber logrado que este trabajo se realice de la mejor
manera.
ii

Tabla de Contenido
1 Introduccin ..................................................................................................................................... 1
1.1 Contexto .................................................................................................................................................... 1
1.2 Problema a resolver ............................................................................................................................. 2
1.3 Solucin .................................................................................................................................................... 4
1.4 Objetivos ................................................................................................................................................... 5
1.4.1 Objetivo Principal .............................................................................................................................................. 5
1.4.2 Objetivos Especficos ....................................................................................................................................... 5
1.5 Metodologa ............................................................................................................................................. 7
1.5.1 Diagnstico (Etapa 1) ...................................................................................................................................... 7
1.5.2 Definicin de Procesos (Etapa 2) ................................................................................................................ 7
1.5.3 Verificacin y Validacin (Etapa 3) ........................................................................................................ 10
2 Marco Terico ............................................................................................................................... 11
2.1 Amisoft Process Framework (APF) ............................................................................................... 11
2.1.1 Estructura del APF ......................................................................................................................................... 11
2.2 ISO/IEC 27001:2013 ........................................................................................................................... 12
2.3 ISO/IEC 27002:2013 ........................................................................................................................... 14
3 Diagnstico y Definicin ............................................................................................................ 16
3.1 Diagnstico ............................................................................................................................................ 16
3.1.1 Seleccin de controles a definir ................................................................................................................ 16
3.1.2 Diagnstico de la situacin actual ........................................................................................................... 17
3.2 Definicin de polticas ....................................................................................................................... 18
iii

3.2.1 Poltica de seguridad de la informacin ............................................................................................... 19
3.2.2 Poltica de uso aceptable ............................................................................................................................. 20
3.2.3 Poltica de control de acceso ...................................................................................................................... 21
3.2.4 Poltica de dispositivos mviles ............................................................................................................... 21
3.2.5 Poltica de claves ............................................................................................................................................. 23
3.2.6 Poltica de eliminacin y destruccin .................................................................................................... 24
3.2.7 Poltica de gestin del cambio ................................................................................................................... 25
3.2.8 Poltica de creacin de copias de seguridad ....................................................................................... 25
3.3 Definicin de procesos ...................................................................................................................... 26
3.3.1 Gestin de riesgos .......................................................................................................................................... 28
3.3.2 Recursos humanos ......................................................................................................................................... 31
3.3.3 Responsabilidad de los activos ................................................................................................................. 33
3.3.4 Control de acceso y claves .......................................................................................................................... 34
3.3.5 Procesos operativos para gestin de TI ................................................................................................ 38
3.3.6 Procesos de ingeniera segura del sistema .......................................................................................... 41
3.3.7 Respuesta a incidentes ................................................................................................................................. 42
3.3.8 Continuidad del negocio .............................................................................................................................. 44
3.3.9 Auditora interna ............................................................................................................................................ 47
3.3.10 Copias de seguridad .................................................................................................................................... 50
3.3.11 Requisitos legales y contractuales ........................................................................................................ 50
4 Verificacin y Validacin ........................................................................................................... 52
4.1 Verificacin ........................................................................................................................................... 52
iv

4.2 Validacin .............................................................................................................................................. 54
4.2.1 Metodologa ...................................................................................................................................................... 54
4.2.2 Resultado de la validacin .......................................................................................................................... 56
4.2.3 Acciones tomadas ........................................................................................................................................... 57
Conclusiones y Trabajo Futuro ...................................................................................................... 59
4.3 Conclusiones ......................................................................................................................................... 59
4.4 Trabajo a futuro ................................................................................................................................... 60
4.4.1 Implantacin de la APF mejorada ........................................................................................................... 60
4.4.2 Obtener certificacin ISO/IEC 27001:2013 ........................................................................................ 60
4.4.3 Definir e implementar el tem A11.1.1 correspondiente a Permetro de seguridad fsica

60
Bibliografa ........................................................................................................................................... 61
Anexos .................................................................................................................................................... 62
Anexo A Tabla de controles seleccionados y su estado ..................................................................... 62
Anexo B Tablas de descripcin de los controles seleccionados ..................................................... 68
Anexo C Tareas y artefactos ........................................................................................................................ 72
Anexo D Informe de auditora ................................................................................................................... 78

ndice de Tablas
Tabla 1 Documentos a implementar ............................................................................................. 6
Tabla 2 Estructura de la norma ISO/IEC 27001 .......................................................................... 13
Tabla 3 Controles definidos ......................................................................................................... 54
Tabla 4 Clusulas a ser revisadas en la auditora ...................................................................... 56
Tabla 5 Informe de observaciones .............................................................................................. 57
Tabla 6 Informe de No Conformidades ....................................................................................... 57
Tabla 7 Acciones correctivas para observaciones ...................................................................... 58
Tabla 8 Acciones correctivas para no conformidades ................................................................. 58
Tabla 9 Controles seleccionados y su estado ............................................................................. 67
Tabla 10 Controles y clusulas ................................................................................................... 70
Tabla 11 Controles parcialmente implementados e tem correspondiente en APF .................... 71
Tabla 12 Controles completamente implementados e tem correspondiente en APF. ............... 71
Tabla 13 Tareas, roles y artefactos nuevos ................................................................................ 76
Tabla 14 Tareas, roles y artefactos ya existentes ....................................................................... 77
vi

ndice de Figuras
Figura 1 Etapas de la metodologa ............................................................................................... 7
Figura 2 Rol Analista QA ............................................................................................................... 8
Figura 3 Tarea original Crear casos de prueba y datos de prueba ............................................... 8
Figura 4 Tarea Crear casos de prueba y datos de prueba actualizada ........................................ 9
Figura 5 Tarea original Generar plan de pruebas ......................................................................... 9
Figura 6 Tarea actualizada Generar plan de pruebas ................................................................. 10
Figura 7 Rol Analista QA actualizado .......................................................................................... 10
Figura 8 Caracterstica esenciales de la informacin [FCSH14] ................................................. 13
Figura 9 Controles a definir ......................................................................................................... 17
Figura 10 Diagnstico de situacin actual ................................................................................... 18
Figura 11 Mapa de procesos [MCAM13] ..................................................................................... 27
Figura 12 Procesos involucrados en el SGSI .............................................................................. 28
Figura 13 Gestin de riesgos ...................................................................................................... 30
Figura 14 Seleccionar y contratar nuevo personal ...................................................................... 32
Figura 15 Responsabilidad de activos ........................................................................................ 34
Figura 16 Control de acceso y claves ......................................................................................... 35
Figura 17 Control de acceso ....................................................................................................... 36
Figura 18 Control de claves ........................................................................................................ 37
Figura 19 Eliminacin y destruccin ............................................................................................ 38
Figura 20 Administracin de requerimientos ............................................................................... 39
Figura 21 Administracin de la configuracin ............................................................................. 40
vii

Figura 22 Pruebas ....................................................................................................................... 40
Figura 23 Tarea Hacer seguimiento de riesgos del proyecto ...................................................... 41
Figura 24 Tarea Generar plan de pruebas .................................................................................. 42
Figura 25 Tarea Crear datos de prueba y casos de prueba ....................................................... 42
Figura 26 Respuesta a incidentes ............................................................................................... 44
Figura 27 Continuidad del negocio .............................................................................................. 46
Figura 28 Mantenimiento y revisin ............................................................................................ 47
Figura 29 Auditoria de seguridad ................................................................................................ 49
Figura 30 Realizacin de la auditoria .......................................................................................... 49
Figura 31 Copias de seguridad ................................................................................................... 50
Figura 32 Identificacin de requisitos de legislacin, normativos y contractuales ...................... 51
viii

1 Introduccin
En este captulo en la seccin 1.1 se explica el contexto de la empresa Amisoft en la
actualidad, en la seccin 1.2 se explica el problema que se quiere resolver con esta
tesis, la seccin 1.3 explica la solucin que se aplic, la seccin 1.4 muestra los
objetivos que se quiere logar y finalmente, la seccin 1.5 indica la metodologa
aplicada.
1.1 Contexto
Amisoft es una empresa chilena dedicada a proveer soluciones y servicios de

tecnologas de la informacin (TI). Sus oficinas se encuentran ubicadas en la ciudad
de Santiago. Desde sus comienzos (1997) ha participado en una serie de proyectos TI
de gran envergadura donde ha adquirido, a lo largo del tiempo, la experiencia y know-
how necesarios para desarrollar proyectos, servicios y productos TI.
Actualmente en Amisoft trabajan 43 ingenieros informticos quienes representan uno

de sus activos ms valiosos. Por otra parte, existe personal complementario que se
encarga de las reas comerciales y recursos humanos. Ms del 20% de sus
empleados cuenta con pos ttulos en diferentes reas.
Amisoft tiene amplia experiencia en el desarrollo de sistemas de informacin para el

sector pblico y privado de Chile. Ha desarrollado sistemas de informacin a gran
escala en colaboracin con otras empresas (Telefnica, Smartcom actual Claro).
Tambin ha desarrollado sistemas en forma independiente para la Corporacin
Administrativa del Poder Judicial de Chile, Ministerio de Obras Pblicas de Chile,
Ministerio de Justicia de Chile y la Cmara de Comercio de Santiago.
Una de las caractersticas ms resaltantes de la empresa es su alto compromiso con

la calidad de sus proyectos, de sus servicios y de sus productos. Es por eso que
constantemente est empeada en mejorar la forma de trabajo tanto a nivel de su
personal como de sus procesos. Por esta razn, el ao 2010 tom la decisin
estratgica de formalizar su proceso de desarrollo de software con el objetivo de dar
mejor soporte a sus proyectos de software.
El resultado de este esfuerzo de 2 aos de trabajo tuvo como resultado el Amisoft

Process Framework (APF), que es un proceso de software que describe en forma
1
detallada todos los roles, tareas, y artefactos de entrada y salida, que deben ser
usados en el desarrollo de software de la empresa. Desde su lanzamiento en el ao
2012, es usado para guiar el desarrollo de todos los proyectos de software en los que
participa Amisoft.
Sin lugar a dudas el APF representa un activo muy valioso para la empresa. Ha
contribuido en gran manera para conseguir dos logros muy importantes:
Obtener la certificacin ISO/IEC 9001:2008. Los procesos definidos en el APF

han permitido garantizar que la empresa tiene establecido formalmente el rea
de Sistema de Gestin de Calidad (SGC) exigido por la ISO/IEC 9001:2008.
Teniendo cumplida esta exigencia, Amisoft pudo lograr la certificacin en esta
norma el ao 2012, con lo cual garantiza que controla la calidad tanto de su
proceso como de sus productos. Adems, gracias a que el APF sigue siendo
usado en cada proyecto desarrollado por la empresa, ha permitido que Amisoft
siga adhirindose a los estndares de la ISO y por esta razn ha logrado la re-
certificacin ISO/IEC 9001:2008 en los aos 2013 y 2014.
Obtener la certificacin CMMI L2. El nivel de detalle de las reas de proceso
que estn formalizadas en el APF ha hecho posible que la empresa pueda
calificar exitosamente en esta evaluacin realizada el ao 2012 y la cual se
encuentra vigente hasta agosto de 2015, fecha en la cual se volver a realizar
la evaluacin. Seguir el APF en cada proyecto desarrollado por la empresa ha
hecho posible que Amisoft pueda presentar evidencias de que la empresa
desarrolla sus proyectos bajo los lineamientos de CMMI L2.

1.2 Problema a resolver
El uso del APF ha dado muy buenos resultados en el desarrollo de los diferentes
proyectos de software de la empresa. Por ejemplo, gracias al uso del APF en estos
ltimos aos Amisoft ha mejorado en estimar sus proyectos. Tenemos un promedio de
un desvo de solamente 10% entre lo planificado y lo realizado. Los ndices de
desempeo Costo-Cronograma establecidos en la empresa, muestran que gracias al
uso de los procesos definidos en el APF, los proyectos se mantienen dentro de los
plazos de tiempo y con los esfuerzos considerados por los jefes de proyecto.
Sin embargo, Amisoft se ha dado cuenta que existen dos problemas que cada vez son
ms relevantes y estn colocando a la empresa en un riesgo muy alto. Amisoft (1) no
2
tiene polticas de seguridad de su informacin (cdigo fuente, bases de datos y
documentacin de sus productos) y (2) no tiene lineamientos claros para reaccionar
frente a situaciones de indisponibilidad de informacin.
1. Falta de polticas de seguridad de la informacin. Actualmente, la informacin

(cdigo fuente, bases de datos y documentacin) tanto de Amisoft como de los
clientes puede ser accedida con suma facilidad por el personal interno de la
empresa. Como consecuencia, hay un serio riesgo de sustraccin de
informacin sensible de la empresa. Por un lado la competencia podra obtener
el cdigo fuente y la documentacin de las aplicaciones y desarrollar mejores
productos. Esto podra ocasionar la perdida de nuestros principales clientes y
por ende un baja sustancial en nuestros ingresos. Por otro lado, al tener fcil
acceso a las bases de datos, la empresa est expuesta a (1) que su personal
pueda realizar cambios en las mismas ocasionando inconsistencias en la
informacin, y (2) que la informacin de las bases de datos sea divulgada a
externos.
2. Falta de lineamientos claros para reaccionar frente a situaciones de
indisponibilidad de informacin. El acceso y la utilizacin de la informacin y de
los sistemas por parte de los trabajadores o procesos debe estar disponible
para cuando estos lo requieran. Pero la empresa presenta serios problemas de
pronta capacidad de reaccin cada vez que se producen problemas en sus
servidores de datos y de aplicaciones. El personal de la empresa no dispone
de lineamientos claros y precisos de las acciones a seguir para poder
recuperarse frente a este tipo de situaciones y mantener la disponibilidad de la
informacin. Actualmente el personal soluciona estos inconvenientes
improvisando su propio plan de accin. Al no existir lineamientos establecidos
por la misma empresa, todos siguen sus propios lineamientos. Como
consecuencia, el tiempo de recuperacin en la gran mayora de casos es muy
alto. Las aplicaciones quedan fuera de servicio por tiempos largos ocasionando
serios inconvenientes a los clientes y a la misma empresa.
Amisoft es cada vez ms consciente de estos problemas, por lo que la alta direccin
de Amisoft ha buscado soluciones concretas para mitigarlos. El presente trabajo busca
abordar estos problemas con el objetivo de proporcionar una solucin que ayude a
mitigarlos dentro de los costos y capacidades que tiene Amisoft.
3
1.3 Solucin
Durante el primer semestre del 2014, en Amisoft analizamos tres distintas soluciones
para mitigar los problemas descritos anteriormente:
- Contratar a un especialista en seguridad de la informacin.

- Capacitar a los empleados de la empresa en temas de seguridad de la
informacin.
- Usar un estndar existente para la gestin de la seguridad en la informacin y
adecuarlo a las necesidades de la empresa.
De estas opciones se decidi usar un estndar existente para la gestin de la

seguridad en la informacin y adecuarlo a las necesidades de la empresa. Existen
actualmente diversos estndares relacionados con seguridad de la informacin
(ISO/IEC 27001:2013 [Iso13a], COBIT [Isac12], COSO [Coso13], TickIT [Brit07], entre
otros). Dichos estndares proveen el suficiente detalle tcnico que puede ser
adecuado para definir polticas de seguridad de la informacin en una empresa en
particular. Debido a que Amisoft ya cuenta con la certificacin ISO/IEC 9001:2008
[Iso08] para la gestin de la calidad de sus procesos, se decidi que la solucin
elegida ser implementar el estndar de seguridad ISO/IEC 27001:2013 [Iso13a]. Con
la experiencia adquirida por el personal de la empresa durante la certificacin de
ISO/IEC 9001:2008, sabemos que este se encuentra familiarizado con la
nomenclatura y la forma de trabajar, por lo tanto es probable que no haya una mayor
resistencia y que la implementacin de la ISO/IEC 27001:2013 sea factible.
De este estndar se implementarn los procesos que cubran las deficiencias que
posee Amisoft en temas de seguridad de la informacin. Para esto se modific el APF
para que se incluyan procesos correspondientes a seguridad de la informacin. As
tambin, el autor de esta propuesta de tesis cumpli el rol de especialista de seguridad
reduciendo los costos debido a encontrarse familiarizado con la forma de trabajar de
Amisoft.
4
1.4 Objetivos
1.4.1 Objetivo Principal
Definir y validar los procesos necesarios para la gestin de seguridad de la

informacin de la empresa Amisoft de acuerdo a la norma ISO/IEC
27001:2013.
1.4.2 Objetivos Especficos
Desarrollar la documentacin que permita una gestin segura de la informacin

mediante el uso del APF extendido.
Extender el APF para que incluya procesos de seguridad de la informacin

sugeridos por la norma ISO/IEC 27001:2013. Debido a la extensin de la
norma, el alcance para esta tesis se limitar a los documentos y
procedimientos descritos en la Tabla 1. Estos fueron analizados como
prioritarios en Amisoft:
5
Documentos Captulo de ISO 27001:2013
Alcance del SGSI 4.3
Polticas y objetivos de seguridad de la
5.2, 6.2
informacin
Metodologa de evaluacin y tratamiento de
6.1.2
riesgos
Declaracin de aplicabilidad 6.1.3
Plan de tratamiento del riesgo 6.1.3, 6.2
Informe de evaluacin de riesgos 8.2
Definicin de funciones y responsabilidades de
A.7.1.2, A.13.2.4
seguridad
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Poltica de control de acceso A.9.1.1
Procedimientos operativos para gestin de TI A.12.1.1
Principios de ingeniera para sistema seguro A.14.2.5
Procedimiento para gestin de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Requisitos legales, normativos y contractuales A.18.1.1
Procedimiento para control de documentos 7.5
Controles para gestin de registros 7.5
Procedimiento para auditora interna 9.2
Procedimiento para medidas correctivas 10.1
Poltica de dispositivos mviles A.6.2.1
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
Poltica de claves
A.9.4.3
Poltica de eliminacin y destruccin A.8.3.2, A.11.2.7

Poltica de gestin de cambio A.12.1.2
Poltica de creacin de copias de seguridad A.12.3.1
Anlisis del impacto del negocio A.17.1.1
Plan de prueba y verificacin A.17.1.3
Plan de mantenimiento y revisin A.17.1.3
Tabla 1 Documentos a implementar
6
1.5 Metodologa
La metodologa que se utiliz en este trabajo tuvo tres etapas (ver Figura 1): (1)
Diagnostico, (2) Definicin de procesos, y (3) Verificacin y validacin.
Verificacin y
Diagnstico Definicin de procesos
validacin
Figura 1 Etapas de la metodologa
1.5.1 Diagnstico (Etapa 1)
En esta primera etapa se evalu el estado actual del APF con respecto a la norma
ISO/IEC 27001:2013. Se determin las reas de proceso de la norma que aplican a la
empresa. Para guiar el diagnostico se utiliz la norma ISO/IEC 27002:2013, la cual
provey una especificacin detallada de los controles de seguridad necesarios para
lograr cumplir con la norma ISO/IEC 27002:2013. El diagnstico generado en esta
etapa permiti tener conocimientos de: (1) aquellos procesos de la norma ISO/IEC
27002:2013 que ya se encuentran definidos en el APF; (2) aquellos procesos de la
norma ISO/IEC 27002:2013 que no se encuentran definidos en el APF; y (3) aquellos
procesos de la norma ISO/IEC 27002:2013 que se encuentran parcialmente definidos
en el APF.
1.5.2 Definicin de Procesos (Etapa 2)
En esta etapa se procedi a adecuar el APF para que cumpla con el estndar ISO/IEC
27001:2013. Esta adecuacin se hizo en funcin al diagnstico obtenido en la etapa
anterior. Se definieron los roles, tareas y artefactos de entrada/salida para cada uno
de los nuevos procesos de seguridad de la informacin que debern aadirse en el
APF. As tambin se realizaron las modificaciones necesarias para aquellos procesos
del APF que se encontraban parcialmente definidos con respecto a la norma ISO/IEC
27001:2013. Como resultado de esta etapa se tuvo una versin nueva del APF que
integra las mejores prcticas de seguridad de la informacin de la ISO/IEC
27001:2013.
Para un ejemplo de la modificacin del APF podemos tomar el proceso que realizaba
el rol de Analista QA (ver Figura 2).
Figura 2 Rol Analista QA
Como se puede ver el analista QA en ese momento deba realizar siete tareas. Con la
actualizacin de la APF este rol tuvo las siguientes modificaciones:
Dentro de la tarea Crear casos de prueba y datos de prueba se agregaron los

controles correspondientes a la seguridad de los datos de prueba (ver Figura 3
y Figura 4).
Figura 3 Tarea original Crear casos de prueba y datos de prueba
Figura 4 Tarea Crear casos de prueba y datos de prueba actualizada
En la tarea Generar casos de prueba se agregaron las pruebas a los

requerimientos de seguridad (ver Figura 5 y Figura 6).
Figura 5 Tarea original Generar plan de pruebas
Figura 6 Tarea actualizada Generar plan de pruebas
Fue necesario agregar una tarea para que adems de las pruebas de
integracin se realicen las pruebas de seguridad del sistema (Ver Figura 7).
Figura 7 Rol Analista QA actualizado
1.5.3 Verificacin y Validacin (Etapa 3)
Para garantizar que la nueva versin del APF cumple con la norma ISO/IEC
27001:2013 se realiz una verificacin y una validacin de los procesos de seguridad
de la informacin definidos en la nueva versin del APF. Para la verificacin se utiliz
los checklist de controles de seguridad definidos en la norma ISO/IEC 27002:2013.
Esta verificacin fue realizada por el responsable de esta tesis. La validacin fue
realizada por un auditor externo en ISO/IEC 27001:2013. El auditor externo valid que
los procesos de seguridad de la informacin descritos en la norma ISO/IEC
27001:2013 estn correctamente definidos en la nueva versin del APF.
10
2 Marco Terico
En este captulo se muestran los conceptos bsicos relacionados con el desarrollo de
esta tesis. La seccin 2.1 habla del proceso de desarrollo utilizado en Amisoft. Las
secciones 2.2 y 2.3 se muestra las normas de seguridad ISO que fueron utilizadas
para el desarrollo de esta tesis.
2.1 Amisoft Process Framework (APF)
El APF es un proceso de desarrollo de software definido especficamente para la

empresa Amisoft. En l se encuentran descritos en forma detallada todos los roles,
tareas, actividades y artefactos de entrada y salida que son usados en todos los
proyectos de desarrollo de software de la empresa.
El APF fue diseado tomando como base diferentes modelos de procesos de software
como CMMI [Sei10], OpenUP [Open07] y Tutelkn [Fede09a, Fede09b]. Fue
formalizado durante los aos 2010 y 2011.El proceso de formalizacin fue guiado por
una consultora externa especializada en formalizacin de procesos. Por parte de
Amisoft, en dicho proceso participaron los jefes de proyecto, el coordinador del
Sistema de Gestin de Calidad (SGC), y la gerencia general. El APF fue formalizado
completamente en la herramienta de formalizacin de procesos de software EPF
Composer [Epfc12].
Una vez formalizado el APF, este fue usado en un proyecto de software real de la
empresa (el proyecto de Corte Suprema) para su respectiva validacin.
Posteriormente, todos los empleados de Amisoft fueron capacitados en su uso. Desde
su lanzamiento hasta hoy, ms de veinte proyectos de software han sido desarrollados
usando el APF.
2.1.1 Estructura del APF
El APF est organizado en tres categoras de procesos:
Procesos de gestin: estos se encuentran enfocados directamente sobre el

proyecto, cubriendo las necesidades relacionadas con la planificacin,
seguimiento y control del mismo. En esta categora se encuentran las
siguientes reas de proceso: Planificacin de Proyectos (PP), Monitoreo y
11
Control de Proyecto (PMC), Administracin de Requerimientos (REQM) y
Administracin de acuerdo con proveedores (SAM).
Procesos de ingeniera: estos procesos dan soporte al ciclo de vida de
desarrollo del producto. Abarcan desde la toma de requerimientos hasta
cuando el producto se encuentra totalmente operativo. En esta categora se
encuentran las siguientes reas de proceso: Desarrollo de Requerimientos
(RD), Solucin Tcnica (TS), Pruebas (VER y VAL) e Integracin de producto
(PI).
Procesos de soporte: en esta categora se proporcionan los procesos
necesarios para dar soporte al desarrollo y mantenimiento de los productos.
Son transversales a todas las reas de proceso definidas anteriormente, ya
que stas ocupan los resultados obtenidos por estos procesos. En esta
categora se encuentran las siguientes reas de proceso: Administracin de la
Configuracin (CM), Aseguramiento de Calidad de Procesos y Productos
(PPQA) y Medicin y Anlisis (M&A).
2.2 ISO/IEC 27001:2013
ISO/IEC 27001:2013 es una norma internacional emitida por la Organizacin

Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de la
informacin en una empresa. Define los requerimientos necesarios para poder
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema
de Gestin de Seguridad de la Informacin (SGSI) de una organizacin completa, un
sector de la misma, o de un proceso en particular.
La ISO/IEC 27001:2013 considera que la informacin debe tener tres principales

caractersticas (ver Figura 8): disponibilidad, confidencialidad, e integridad. Estas
caractersticas son fundamentales para garantizar que una empresa gestiona en forma
adecuada la seguridad de su informacin.
12

Figura 8 Caracterstica esenciales de la informacin [FCSH14]
Para que la informacin de las empresas cumpla con estas caractersticas, la versin
2013 de este estndar presenta una serie de lineamientos que sirven para el
desarrollo de un SGSI. Dichos lineamientos estn descritos en forma detallada en 10
captulos (ver Tabla 2). En los primeros tres captulos se define el alcance que tiene la
normativa para poder certificar, centrndose en los requisitos cubiertos en los
captulos 4 a 10.
Captulo Tema
0 Introduccin
1 Alcance y campo de aplicacin
2 Referencias normativas
3 Trminos y definiciones
4 Contexto de la organizacin
5 Liderazgo
6 Planificacin
7 Apoyo
8 Operacin
9 Evaluacin de desempeo
10 Mejora
Tabla 2 Estructura de la norma ISO/IEC 27001
En el captulo 4 (Contexto de la organizacin), se resalta la necesidad de hacer un

anlisis para identificar los problemas externos e internos que rodean a la
organizacin. De esta forma se puede establecer el contexto del SGSI incluyendo las
partes interesadas que deben estar dentro del alcance del SGSI.
En el captulo 5 (Liderazgo), se definen las responsabilidades de la alta direccin

respecto al SGSI. Por ejemplo, sus responsabilidades en la definicin de la poltica de
13
seguridad de la informacin alineada a los objetivos del negocio y la asignacin de los
recursos necesarios para la implementacin del SGSI.
Dentro del captulo 6 (Planificacin), se desarrolla la definicin de objetivos de

seguridad claros que permitan elaborar planes especficos para su cumplimiento. En
esta planificacin debe tambin considerarse la identificacin de aquellos riesgos que
puedan afectar la confidencialidad, integridad y disponibilidad de la informacin.
En el captulo 7 (Apoyo), se describen los requerimientos para implementar el SGSI

incluyendo recursos, personas y elementos de comunicacin para las partes
interesadas en el sistema.
El captulo 8 (Operacin), establece los mecanismos para planear y controlar las

operaciones y requerimientos de seguridad. Las evaluaciones peridicas de riesgos
constituyen el enfoque central para la gestin del SGSI. Las vulnerabilidades y las
amenazas a la informacin se utilizan para identificar los riesgos asociados con la
confidencialidad, integridad y disponibilidad.
En el captulo 9 (Evaluacin del desempeo), se definen las bases para medir la

efectividad y desempeo del SGSI. Dichas mediciones se realizan usualmente a
travs de auditoras internas.
Finalmente, el captulo 10 (Mejora), propone, a partir de las no conformidades

identificadas en el SGSI, establecer las acciones correctivas ms efectivas para
solucionarlas.
2.3 ISO/IEC 27002:2013
Las organizaciones de todos los tipos y tamaos (sector pblico y privado, comercial y
sin fines de lucro) recopilan, procesan y transmiten informacin de varias formas
incluidas las electrnicas, fsicas y verbales (es decir, conversaciones y
presentaciones). Los procesos, los sistemas, y el personal involucrado en la
operacin, manipulacin y proteccin de dicha informacin son activos que, al igual
que otros activos comerciales de importancia, resultan valiosos para la organizacin y,
por lo tanto, merecen o requieren proteccin contra diversos peligros.
La seguridad de la informacin se logra implementando un conjunto adecuado de

controles de seguridad, que incluyen polticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware. Estos controles se deberan
14
establecer, implementar, monitorear, revisar y mejorar para garantizar que se cumplen
los objetivos comerciales y de seguridad de las organizaciones.
El estndar ISO/IEC 27002:2013 es una norma que describe controles de seguridad

que pueden ser implementados dentro de una organizacin. Este estndar es una
gua de buenas prcticas que constituyen un conjunto de controles recomendables en
cuanto a seguridad de la informacin. Esta norma sigue las directrices de la norma
ISO/IEC 27001:2013. Est diseada para que la utilicen las organizaciones que tienen
la intencin de: (a) seleccionar controles de seguridad dentro del proceso de
implementacin de un SGSI basado en ISO/IEC 27001:2013, (b) implementar
controles de seguridad de la informacin de aceptacin comn, y (c) desarrollar sus
propias pautas de gestin de seguridad de la informacin.
La ISO/IEC 27002:2013 contiene 35 categoras de seguridad agrupados en 14

clusulas de control. Por ejemplo, la clusula Control de Acceso tiene 4 categoras de
seguridad: (1) requerimientos de negocio de control de acceso, (2) gestin de acceso
de usuarios, (3) responsabilidades de los usuarios, y (4) control de acceso al sistema.
Para cada categora de seguridad, la norma ISO/IEC 27002:2013 detalla un conjunto
de controles especficos que las organizaciones deberan implementar. El total de
controles especficos presentados por la norma ISO/IEC 27002:2013 es de 114
controles de seguridad. No es la intencin de la norma que todos estos controles sean
implementados para lograr una certificacin. Cada organizacin debera aplicar los
controles adecuados para sus necesidades especficas.
15
3 Diagnstico y Definicin
En este captulo se habla del proceso de desarrollo de la tesis. La seccin 3.1 indica el
proceso utilizado para el diagnstico de Amisoft en cuanto a seguridad de la
informacin. La seccin 3.2 se describen las 8 polticas que fueron definidas en el
desarrollo de la tesis. Por ltimo, el captulo 3.3 detalla los procesos que se
modificaron o aadieron a el APF.
3.1 Diagnstico
3.1.1 Seleccin de controles a definir
Dentro de los controles que se encuentran descritos en la ISO/IEC 27002:2013 hay

algunos que no sern ni definidos ni posteriormente implementados en Amisoft. Esto
se debe a que los costos de implementacin de estos pueden ser muy elevados por lo
que no es factible que se realice o porque directamente no inciden en el negocio de
Amisoft.
Para determinar que controles se deban definir se realiz un anlisis de cada uno de
estos y junto con los miembros del sistema de gestin de la calidad se tom la
decisin en la que se definira o no el control. Para este proceso se realizaron dos
reuniones con un total de cuatro miembros: el representante de la direccin, el jefe de
proyecto de sistema de gestin de la calidad, la analista de calidad y el autor de esta
tesis como jefe de proyecto del sistema de gestin de la seguridad de la informacin.
Los criterios usados para la seleccin de controles son: (1) La manera en que al
implementar un control este ayude a resolver al menos uno de los problemas de
seguridad de Amisoft. (2) Los costos que implican aplicar uno de los controles,
teniendo en cuenta para este punto los costos asociados a cambios fsicos de la
empresa, capacitaciones a los empleados, costo de implementacin del control.
Al finalizar este anlisis se determin que para una primera etapa se deberan definir
los procesos para que se satisfagan 64 controles (ver Figura 9). Dentro de estos
controles se encuentran controles ayudan a con la confidencialidad, integridad y
disponibilidad de la informacin. Con esto Amisoft mejora la manera de reacionar ante
algn tipo de incidente, la seguridad de la informacin que Amisoft posee en sus
activos y mejora su gestin de riesgos. Por otro lado, dentro de los controles que no
fueron seleccionados se encuentran los que tienes que ver con modificaciones fsicas
16
en la empresa, el uso de criptografa y los niveles de confidencialidad de los
documentos. Al no definir estos procesos Amisoft pierde principalmente las
seguridades correspondientes al acceso fsico a los servidores y que el acceso a los
documentos sea realizado por cualquier persona sin importar su cargo dentro de la
empresa. Los controles seleccionados se encuentran descritos en el Anexo A.
Controles a definir
64 50
Definir No definir

Figura 9 Controles a definir
3.1.2 Diagnstico de la situacin inicial
Para comenzar con la definicin de los procesos descritos en la norma ISO/IEC

27001:2013 y que fueron elegidos en el proceso de seleccin de controles es
necesario realizar la evaluacin del APF con respecto a la norma para evitar redundar
en polticas, tareas o artefactos ya definidos. Para esto se analiza cada uno de los
controles a la norma definidos en la ISO/IEC 27002:2013 y se comprueba si estos se
cumplen de alguna manera en la APF. Los controles pueden encontrarse dentro de
una de las siguientes categoras:
Implementado, el control se encuentra completamente implementado o

requiere pequeas modificaciones para que se cumpla.
Parcialmente implementado, ciertas partes del control se encuentran
implementadas y para que este cumpla con la norma es necesario realizar
nuevas tareas.
No implementado, el control no se encuentra implementado en el APF por lo
tanto es necesario realizar todo el proceso desde cero.
17
Teniendo en cuenta estas directrices despus de llevar a cabo el diagnstico de
situacin actual se obtuvieron los resultados descritos en la Figura 10. La tabla
correspondiente a los 64 controles en la cual se indica a que corresponden es descrita
en el Anexo B.
Diagnstico de situacin actual
43
16
Controles implementados Controles parcialmente implementados

Controles no implementados

Figura 10 Diagnstico de situacin actual
Una vez que el APF fue modificada tiene una importante ganancia en lo
correspondiente al acceso a la informacin que Amisoft posee como empresa. As
tambin se implement el control de riesgos con lo que cubren deficiencias que la
empresa tena en esta rea. Otra de las mejoras que se obtuvo corresponde a las
auditorias que implementan una mejora en cuestin de seguridad. La ltima fortaleza
se encuentra en el rea de pruebas a la cual se le asignaron nuevas tareas para
mantener la seguridad. Aunque como se ve se alcanzaron mejoras en algunos
procesos, se mantiene dbil en lo correspondiente a gestin de la seguridad con los
proveedores, seguridad fsica de los servidores y los accesos a documentos a los
cuales puede tener cada perfil de usuario de la empresa.
3.2 Definicin de polticas
Al definir los nuevos procesos fue necesario previamente establecer las polticas que
regirn estos procesos. Cada una de estas polticas corresponden a las polticas que
las ISO/IEC 27001:2013 describe en las clusulas de los controles que fueron
determinados anteriormente como los que van a ser definidos en Amisoft. Debido a
18
que cada poltica puede tener reas diferentes a las cuales son aplicables entonces a
una poltica puede tener diferentes procesos involucrados para que esta se cumpla.
Las polticas fueron elaboradas por el autor de esta tesis como parte de la contribucin
a este trabajo y son descritas a continuacin.
3.2.1 Poltica de seguridad de la informacin
El propsito de esta poltica de alto nivel es definir el objetivo, direccin, principios y

reglas bsicas para la gestin de la seguridad de la informacin. Teniendo esto en
cuenta el objetivo general para el sistema de gestin de seguridad de la informacin
es el siguiente: Definir y validar los procesos necesarios para la gestin de seguridad
de la informacin de la empresa Amisoft. Este objetivo pretende extender el actual
APF de la empresa para que cumpla con la norma ISO/IEC 27001:2013 aplicando los
controles de seguridad detallados en la norma ISO/IEC 27002:2013. Con esto se
busca adaptar los procesos actuales que se encuentran definidos en el APF para que
sean coherentes con la norma y de esta manera permitir disminuir los riesgos
relacionados a la seguridad de la informacin (cdigo fuente, documentacin,
informacin en las bases de datos) y as mismo disponer de lineamientos claros para
reaccionar frente a situaciones de indisponibilidad de informacin (por ejemplo,
recuperacin frente a cada de servidores). Esta meta est en lnea con los objetivos
comerciales, con la estrategia y los planes de negocio de la organizacin. El jefe del
SGSI es el responsable de revisar este objetivo general del SGSI y de establecer
nuevos objetivos.
Los objetivos para controles individuales de seguridad o grupos de controles son

propuestos por los jefes de proyecto y son aprobados por jefe del SGSI o por la
gerencia en la Declaracin de aplicabilidad. Todos los objetivos deben ser revisados al
menos una vez al ao.
Amisoft medir el cumplimiento de todos los objetivos. El grupo del SGSI conformado
por el jefe de proyecto SGSI y dos personas capacitadas en seguridad de la
informacin, es el responsable de definir el mtodo para medir el cumplimiento de los
objetivos; la medicin se realizar al menos una vez al ao y el jefe del SGSI analizar
y evaluar los resultados y los reportar a la gerencia como material para la revisin
por parte de la Direccin.
19
3.2.2 Poltica de uso aceptable
El objetivo de esta poltica es definir reglas claras para el uso de los sistemas y de
otros activos de informacin en Amisoft. En donde:
Sistema de informacin: incluye todos los servidores y clientes,

infraestructura de red, software del sistema y aplicaciones, datos y dems
subsistemas y componentes que pertenecen o son utilizados por la
organizacin, o que se encuentran bajo responsabilidad de la organizacin. El
uso de un sistema de informacin tambin incluye el uso de todos los servicios
internos o externos, como el acceso a Internet, correo electrnico, etc.
Activos de informacin: en el contexto de esta Poltica, el trmino activos de
informacin se aplica a los sistemas de informacin y dems informacin o
equipos, incluyendo documentos en papel, telfonos mviles, computadores
porttiles, soportes de almacenamiento de datos, etc.
Cada activo de informacin tiene designado un propietario en el Inventario de activos.

El propietario del activo es el responsable de la confidencialidad, integridad y
disponibilidad de la informacin en el activo en cuestin.
De acuerdo a esto los activos de informacin solamente pueden ser utilizados a fines
de satisfacer necesidades de negocios con el objetivo de ejecutar tareas vinculadas
con la organizacin. Por esta razn en esta poltica se definen los siguientes puntos
para el uso correcto de activos:
Actividades prohibidas.
Devolucin de activos a la finalizacin de un contrato.
Procedimiento para copias de seguridad.
Proteccin antivirus.
Facultados para el uso de sistemas de informacin.
Responsabilidades sobre la cuenta de usuario.
Responsabilidades sobre la clave.
Uso de Internet.
Supervisin del uso de sistemas de informacin y comunicacin.
Incidentes.
20
3.2.3 Poltica de control de acceso
El objetivo de esta poltica es definir reglas de acceso para los diversos sistemas,
equipos e informacin en base a los requerimientos de negocios y de seguridad.
El principio bsico de esta poltica es que el acceso a todos los sistemas, redes,
servicios e informacin est prohibido salvo que sea expresamente permitido a
usuarios individuales o a grupos de usuarios. Por lo tanto en esta poltica se definen
los perfiles de usuario que tienen Amisoft, junto con los derechos de acceso y los roles
que tienen derechos de acceso de acuerdo a este perfil.
Adems, tambin se define quienes son los usuarios que pueden conceder o eliminar
los derechos de acceso a los sistemas, redes o servicios.
3.2.4 Poltica de dispositivos mviles
El objetivo de esta poltica es evitar el acceso no autorizado a dispositivos ubicados

tanto dentro como fuera de las instalaciones de la organizacin.
La poltica establece que en la categora de dispositivos mviles se incluyen todo tipo

de computadores porttiles, celulares, tarjetas de memoria y dems equipamiento
mvil utilizado para almacenamiento, procesamiento y transferencia de datos.
Los dispositivos mencionados precedentemente pueden ser llevados fuera de las

instalaciones solamente con autorizacin, de acuerdo a lo establecido en la Poltica de
uso aceptable.
Se debe tener especial cuidado cuando los dispositivos mviles se encuentran en

autos, espacios pblicos, habitaciones de hotel, salas de reunin, centros de
conferencias y dems reas no protegidas exteriores a las instalaciones de la
organizacin.
La persona que se lleva dispositivos mviles fuera de las instalaciones debe cumplir
las siguientes reglas:
Los dispositivos mviles que contienen informacin importante, sensible o

crtica no deben ser desatendidos y, en lo posible, debe quedar resguardado
bajo llave o se deben utilizar trabas especiales para asegurarlo.
21
Cuando se utiliza dispositivos mviles en lugares pblicos, el usuario debe
tener la precaucin de que los datos no puedan ser ledos por personas no
autorizadas.
Las actualizaciones de parches y dems configuraciones del sistema son
realizadas por el propietario del dispositivo mvil. En el caso de que la
configuracin sea de mayor complejidad se contar con la ayuda del jefe de
proyecto. Por ltimo en casos de que las personas anteriores no puedan
realizar la configuracin, esta se realizar con ayuda del administrador de la
configuracin de la empresa.
La proteccin contra cdigos maliciosos se instala utilizando el antivirus de la
empresa que se encuentra en el servidor de aplicaciones. Para instalar el
antivirus es necesario dar doble clic sobre el instalador y seguir las
indicaciones del mismo software, una vez que el antivirus se instal
correctamente seleccionamos la opcin de actualizacin automtica. Para
realizar un anlisis del equipo es necesario abrir el antivirus y realizar una
exploracin total del equipo.
La persona que utilice dispositivos mviles fuera de las instalaciones es
responsable de realizar peridicamente copias de seguridad de datos. Para
esto es necesario que el usuario se conecte al SVN con su usuario y
contrasea para subir los cambios de su cdigo al menos una vez a la semana.
Los documentos deben ser subidos al gestor documental de la empresa
Cougar utilizando su usuario y contrasea al menos una vez a la semana. La
informacin que no se sube a los servidores de la empresa ya sean de cdigo
o documental deben ser respaldados en el disco duro de la empresa al menos
una vez al mes.
El intercambio de datos solo puede ser realizado al interior de la empresa
utilizando el correo corporativo o los servidores.
La poltica tambin establece los parmetros para teletrabajo. Define a teletrabajo

como el uso de los equipos de informacin y comunicacin por parte de los empleados
desde fuera de la organizacin. El teletrabajo no incluye el uso de celulares fuera de
las instalaciones de la organizacin.
El teletrabajo debe ser autorizado por el jefe del SGSI y deber ser realizado utilizando
la herramienta TeamViewer.
22
3.2.5 Poltica de claves
El objetivo de esta poltica es establecer reglas para garantizar la gestin y utilizacin

seguras de las claves.
Para esto se definen buenas prcticas de seguridad en cuanto a la eleccin y uso de

claves:
No se deben revelar las claves a otras personas, incluyendo la gerencia y los

administradores del sistema.
El administrador de la configuracin es el nico que puede llevar un registro de
las claves.
Las claves generadas por el usuario no deben ser distribuidas por ningn
medio (oral, escrito, electrnico, etc.); las claves deben ser cambiadas si
existen indicios de que puedan estar en riesgo las mismas claves o el sistema
(en ese caso, se debe informar un incidente de seguridad).
Se deben escoger claves seguras de la siguiente forma:
o Utilizando al menos un carcter numrico;
o Utilizando al menos un carcter alfabtico en mayscula y uno en
minscula;
o Utilizando al menos un carcter especial;
o Una clave no debe ser una palabra que se encuentre en el diccionario,
en un dialecto o jerga de ningn idioma; como tampoco ninguna de
estas palabras escritas hacia atrs;
o Las claves no deben estar relacionadas con datos personales (por ej.,
fecha de nacimiento, domicilio, nombre de un familiar, etc.);
o No se deben usar nuevamente las ltimas tres claves.
Se deben cambiar las claves cada 3 meses.
Se deben cambiar las claves en el primer ingreso al sistema.
Las claves no deben ser almacenadas en un sistema de registro automatizado
(por ej., macros o explorador).
No se deben utilizar las mismas claves personales para fines privados y para
fines comerciales.
Cuando se asignan y utilizan claves de usuarios, se deben seguir las siguientes

reglas:
23
Al firmar la Declaracin de aceptacin de los documentos del SGSI, los
usuarios tambin aceptan la obligacin de mantener sus claves en forma
confidencial, como se establece en este documento.
Cada usuario puede utilizar solamente su propio nombre de usuario asignado
de forma exclusiva.
Cada usuario debe tener la posibilidad de escoger su propia clave, en los
casos corresponda.
Las claves utilizadas para el primer acceso al sistema deben ser exclusivas y
seguras, segn lo establecido precedentemente.
Las claves de primer acceso deben ser comunicadas al usuario de forma
segura, y se debe verificar previamente la identidad del usuario.
La contrasea no debe ser visible en la pantalla durante el inicio de sesin.
Si un usuario ingresa una clave incorrecta tres veces consecutivas, el sistema
debe bloquear la cuenta de usuario en cuestin.
Las claves creadas por el fabricante del software o hardware deben ser
cambiadas durante la instalacin inicial.
3.2.6 Poltica de eliminacin y destruccin
El objetivo de la poltica es garantizar que la informacin almacenada en equipos y

soportes sea borrada o eliminada de forma segura.
Todos los datos y software con licencia almacenado en soportes mviles (por ej., CD,
DVD, unidades USB, tarjetas de memoria, etc., y tambin en papel) y en todos los
equipos que tienen soportes de almacenaje (por ej., computadores, telfonos mviles,
etc.) deben ser borrados, o se debe destruir el soporte, antes de ser eliminados o
reutilizados.
La persona responsable de borrar los datos o destruir el soporte debe informar al

propietario del activo en cuestin acerca del borrado o eliminacin de datos, y el
propietario del activo debe actualizar el Inventario de activos.
El Jefe del SGSI es el responsable de verificar y borrar datos de los equipos. Los
datos deben ser borrados utilizando la herramienta Eraser, pero si, teniendo en cuenta
la sensibilidad de los datos, el proceso no es suficientemente seguro, entonces los
soportes de almacenaje deben ser destruidos.
24
El Jefe del SGSI es el responsable de borrar datos de los soportes mviles de
almacenaje. Los datos deben ser borrados utilizando la herramienta Eraser, pero si,
teniendo en cuenta la sensibilidad de los datos, el proceso de borrado no es
suficientemente seguro, entonces los soportes de almacenaje deben ser destruidos.
3.2.7 Poltica de gestin del cambio
El objetivo de esta poltica es definir cmo se controlan los cambios en los sistemas de
informacin.
La poltica define que cualquier cambio sobre sistemas operativos o de produccin

debe ser realizado de la siguiente forma:
1. Los cambios pueden ser propuestos por el personal de Amisoft en el caso de

los sistemas de uso interno y por el cliente en los sistemas para los cuales se
desarrolla.
2. Los cambios deben ser autorizados por el jefe de proyecto del sistema
respectivo, que debe evaluar su justificacin para el negocio y las potenciales
consecuencias negativas sobre la seguridad.
3. Los cambios deben ser implementados por los analistas y programadores.
4. El jefe de proyecto es el responsable de verificar que los cambios se han
implementado de acuerdo a los requerimientos.
5. El analista de QA y el tester son los responsables de probar y verificar la
estabilidad del sistema; el sistema no debe ser puesto en produccin antes de
haber realizado pruebas exhaustivas.
6. La implementacin de los cambios debe ser reportada al Administrador de la
configuracin.
Los registros sobre los cambios son llevados en el documento de especificacin de

requerimientos.
3.2.8 Poltica de creacin de copias de seguridad
El objetivo de esta poltica es garantizar que las copias de seguridad sean creadas de
acuerdo a intervalos definidos y sean verificadas peridicamente.
Se debe crear copias de seguridad para el servidor que contiene las mquinas
virtuales el cual tiene el nombre de Neptuno, as tambin todos los servidores que se
25
encuentran virtualizados en el servidor Neptuno. Los servidores deben ser
respaldados cada da viernes en el disco duro asignado.
El administrador de la configuracin es el responsable de crear copias de seguridad de

informacin, software e imgenes del sistema. La copia de seguridad debe realizarse
copiando todos los servidores virtuales al disco duro. El disco duro se mantendr en
un ubicacin seleccionada por la gerencia.
Se crean automticamente registros del proceso de creacin de copias de seguridad

en los sistemas sobre los que se realiza la copia de seguridad.
Las copias de seguridad y el proceso de restauracin deben ser probados al menos

una vez cada tres meses. Se debe verificar que las mquinas virtuales funcionen
correctamente y que la informacin que se encuentra en estas no sea corrupta. Esto
debe realizarse en el servidor Neptuno, en un servidor virtual para pruebas.
3.3 Definicin de procesos
En este punto se explicarn los procesos que han sido definidos y los existentes que
han sido modificados. Debido a que no todos los controles que Amisoft determin que
se deberan definir fueron incluidos en el alcance de la tesis, en este punto se tratarn
solo los que hacen referencia a la Tabla 1 del presente documento.
Para entender los nuevos procesos definidos primero es necesario exponer cul es la
situacin actual del mapa de procesos de Amisoft (ver Figura 11). Amisoft cuenta con
seis grupos de procesos:
Gestin de procesos
Gestin de recursos
Relacin con el cliente
Diseo y Desarrollo
Produccin y Prestacin
Planificacin
26

Figura 11 Mapa de procesos [MCAM13]
El definir los procesos de seguridad de la informacin es una actividad que involucra a

diferentes procesos dentro de la organizacin. Existen actividades que son
transversales a toda la organizacin como la gestin de riesgos, pero tambin existen
actividades que son propias de cada proceso como es el caso de identificar
requerimientos de seguridad que afecta al proceso de relacin con el cliente.
En la Figura 12 se muestra con una marca de color rojo los procesos que fueron
afectados dentro del proceso de definicin de procesos de seguridad de la
informacin. Todos los procesos fueron implementados usando EPF Composer y el
listados de estos se encuentra en el Anexo C.
27

Figura 12 Procesos involucrados en el SGSI
3.3.1 Gestin de riesgos
Actualmente en Amisoft se tiene una evaluacin de riesgos pero esta se encuentra

enfocada exclusivamente a los riesgos de un proyecto que se est cotizando o
licitando. Posteriormente, cuando el proyecto se encuentra en ejecucin, el Jefe de
proyecto es el encargado de actualizar la lista de riesgos de acuerdo a la probabilidad
de ocurrencia. El principal problema de esta tarea es que la evaluacin solo se enfoca
al proceso de desarrollo y no a riesgos que tengan que ver con la seguridad de la
informacin.
Por esta razn fue necesario definir un proceso para gestin de riesgos de la
seguridad de la informacin que se encargue de su evaluacin y tratamiento (ver
Figura 13).
Las tareas que se encuentran definidas son las siguientes:
Evaluacin de riesgos, identifica las amenazas y vulnerabilidades de los

activos, determina la consecuencia y probabilidad de los riesgos. Estos son
especificados en el cuadro de evaluacin de riesgos y es realizada por el grupo
de seguridad de la informacin y el jefe de seguridad de la informacin.
Realizar cuadro de tratamiento de riesgos, busca reducir la consecuencia y
probabilidad de los riesgos encontrados mediante el cuadro de evaluacin de
riesgos en Amisoft. Los tratamientos son indicados en el cuadro de tratamiento
28
de riesgos y es realizada por el grupo de seguridad de la informacin y el jefe
de seguridad de la informacin.
Revisin de evaluacin y tratamiento de riesgos, debido a que los riesgos
puede evolucionar o cambiar por otros con esto se busca mantener actualizado
y vigente los riesgos a los que se encuentra expuesto Amisoft. La revisin es
realizada por el grupo de seguridad de la informacin y el jefe de seguridad de
la informacin quienes actualizan la lista de riesgos y el cuadro de tratamiento
de riesgos.
Elaborar plan de tratamiento de riesgos, planifica la implementacin de los
controles para los riesgos, el plan se especifica en el plan de tratamiento de
riesgos y es realizado por el jefe de seguridad de la informacin.
Definir declaracin de aplicabilidad, con esta tarea se busca definir qu
controles son adecuados para implementar en Amisoft, cules son los objetivos
de esos controles y cmo se implementan. Tambin tiene como objetivo
aprobar riesgos residuales y aprobar formalmente la implementacin de los
controles mencionados. El artefacto asociado a esta tarea es la declaracin de
aplicabilidad y es ejecutada por el jefe de seguridad de la informacin.
Elaboracin del informe de evaluacin y tratamiento de riegos, documenta el
proceso para obtener los resultados de la evaluacin y tratamiento de riesgos
en el informe sobre evaluacin y tratamiento de riesgos, el cual es realizado
por el jefe de seguridad de la informacin.
29

Figura 13 Gestin de riesgos
30
3.3.2 Recursos humanos
El proceso para recursos humanos ya se encuentra definido en el APF por esta razn
solo fue necesario modificarlo para que cumpla con los requerimientos de seguridad.
Dentro de la actividad Seleccionar y contratar nuevo personal se agregaron las tareas:
1) Verificacin de antecedentes, en la cual se realiza una verificacin de las
referencias, el curriculum vitae, calificaciones acadmicas y profesionales por parte del
subgerente de recursos humanos. 2) Definir responsabilidades para la seguridad de la
informacin (ver Figura 14), la cual indica las responsabilidades de empleados y las de
la organizacin sobre la seguridad de la informacin lo que genera el artefacto
Declaracin de aceptacin de documentos del SGSI. As tambin, evita que la
informacin que recibir el nuevo personal de Amisoft no sea divulgada mediante el
artefacto Acuerdo de confidencialidad de la informacin. Estas tareas son ejecutadas
por el subgerente de recursos humanos.
31

Figura 14 Seleccionar y contratar nuevo personal
32
3.3.3 Responsabilidad de los activos
Este proceso fue definido completamente puesto que en Amisoft no se tiene un control
de los activos. El proceso se encuentra conformado por tres tareas (ver Figura 15):
Elaborar inventario de activos, mantiene un inventario de los activos asociados

a la informacin y las instalaciones de procesamiento de la informacin. El
inventario ayuda a garantizar que se implementa una proteccin eficaz para
cada uno de los activos de Amisoft. Como artefacto resultante se tiene el
inventario de activos que es elaborado por el Administrador de la configuracin,
jefe y grupo de seguridad de la informacin y subgerente de RRHH.
Establecer propietarios de los activos, en esta tarea se identifican a las
personas o entidades que tienen responsabilidad sobre un activo. Esta persona
est autorizada para controlar todo el ciclo de vida de este activo. Los
propietarios de los activos son especificados en el mismo inventario de activos
por el administrador de la configuracin, el jefe de seguridad de la informacin
y el subgerente de RRHH.
Socializar el uso aceptable de activos, la tarea tiene la funcin de que a cada
uno de los empleados de Amisoft que utilizan o tienen acceso a los activos de
la organizacin estn al tanto del uso que se los puede dar mediante el
artefacto Poltica de seguridad de la informacin. La socializacin es realizada
por el jefe de seguridad de la informacin
33

Figura 15 Responsabilidad de activos
3.3.4 Control de acceso y claves
Este proceso es el resultado de tres nuevas polticas: control de acceso, control de

claves y la de eliminacin y destruccin. El proceso se encuentra conformado por
tres actividades (ver Figura 16):
Control de acceso, agrupa las tareas para asignar o revocar un acceso a un

sistema, servicio o red.
Control de claves, agrupa las tareas para una correcta gestin de las claves a
usar en Amisoft.
Eliminacin y destruccin, engloba las tareas para una correcta eliminacin de
la informacin que se encuentra almacenada en los equipos de Amisoft.
34

Figura 16 Control de acceso y claves
La actividad Control de acceso est definida por siete tareas (ver Figura 17):
Solicitud de acceso a jefe de proyecto, tarea en la cual se solicitan los accesos

a los sistemas y redes de Amisoft a un empleado que haya ingresado a la
empresa o que pueda necesitar accesos debido a un cambio de puesto de
trabajo. El artefacto utilizado es un email y los roles que ejecutan esta tarea
son los usuarios de Amisoft.
Evaluacin de acceso, el jefe de proyecto evala si se debe conceder o no el
acceso solicitado en el correo.
Solicitar acceso al administrador de la configuracin, en caso de que el jefe de
proyecto acepte la evaluacin entonces se solicita al administrador de la
configuracin el acceso mediante un correo.
Generar acceso, el administrador de la configuracin genera el acceso
solicitado en el correo.
Solicitar revocar acceso administrador de la configuracin, el jefe de proyecto
solicita revocar acceso a algn sistema mediante un correo.
Revocar acceso, el administrador de la configuracin elimina el acceso a los
sistemas solicitados en el correo.
35
Revocar acceso por mantenimiento, debido a que pueden existir permisos que
no fueron revocados, es necesario que el administrador de la configuracin
elimine estos permisos segn lo estipulado en la poltica de control de acceso.
Figura 17 Control de acceso
La actividad Control de claves est formada por tres tareas (ver Figura 18):
Difundir poltica de claves, en esta tarea se busca difundir a toda la

organizacin la Poltica de claves para que cada uno de los empleados
conozca la manera correcta que gestionar sus claves. Esta tarea es ejecutada
por el jefe de seguridad de la informacin.
Generar clave, el usuario genera una clave en base a lo establecido en la
poltica previamente distribuida. Los roles encargados de esta tarea es toda la
organizacin y el artefacto de salida es la clave.
36
Realizar cambio de clave, cada empleado de Amisoft debe realizar el cambio
de clave a la que se encuentra generada de acuerdo a la poltica.
Figura 18 Control de claves
Por ltimo, la actividad Eliminacin y destruccin est conformada por dos actividades
(ver Figura 19) que garantizan que la informacin despus de utilizada no puede ser
utilizada por terceros ajenos a la organizacin:
Eliminar informacin, elimina la informacin que est contenida en los

dispositivos que usa el personal de Amisoft y que no debe ser accedida por
personas ajenas a la organizacin. El jefe de seguridad de la informacin
actualiza el artefacto inventario de activos.
Destruccin de dispositivo, destruye dispositivos que ya no se encuentran bajo
el uso del personal de Amisoft para que la informacin no pueda ser accedida
por personas ajenas a la organizacin. El jefe de seguridad de la informacin
actualiza el artefacto inventario de activos.
37

Figura 19 Eliminacin y destruccin
3.3.5 Procesos operativos para gestin de TI
Estos procesos correspondientes a los procedimientos operativos documentados,

administracin de cambios y separacin de entornos de desarrollo, prueba y
produccin ya se encuentran completamente implementados en la APF. Estos se
encuentran descritos en los procesos Administracin de requerimientos (ver Figura
20), Administracin de la configuracin (ver Figura 21) y Pruebas (ver Figura 22).
38

Figura 20 Administracin de requerimientos
39

Figura 21 Administracin de la configuracin
Figura 22 Pruebas
40
3.3.6 Procesos de ingeniera segura del sistema
Estos procesos ya se encontraban parcialmente implementados en Amisoft. Por esta

razn solo fue necesario realizar modificaciones en las tareas para que se ajusten a
los controles de la norma de seguridad de la informacin.
En las tareas Generar lista preliminar de riesgos y Hacer seguimiento de riesgos del
proyecto ahora se debe evaluar los riesgos correspondientes a la seguridad de la
informacin (ver Figura 23):
Los riesgos relacionados con el acceso no autorizado al ambiente de

desarrollo.
Los riesgos relacionados con los cambios no autorizados sobre el ambiente de
desarrollo.
Las vulnerabilidades tcnicas de los sistemas de TI utilizados en la
organizacin.
Los riesgos que puede traer una nueva tecnologa si se utiliza en la
organizacin
Figura 23 Tarea Hacer seguimiento de riesgos del proyecto
Dentro de las actividades relacionadas a las pruebas tambin fue necesario realizar
cambios a ciertas tareas, siendo la primera de ellas el Generar el plan de pruebas.
Esta tarea debe realizar pruebas a requerimientos de seguridad de la especificacin
de requerimientos (ver Figura 24).
41

Figura 24 Tarea Generar plan de pruebas
En la tarea Crear casos de prueba y datos de prueba es agregada informacin acerca

de la seguridad que se debe tener con los datos de prueba (ver Figura 25). Se debe
evitar en estos datos tener informacin confidencial o personal. As tambin, los datos
de pruebas deben cumplir con las siguientes pautas:
Los controles de acceso que se aplican a los sistemas en produccin tambin

se deben aplicar a los sistemas de pruebas.
Debe existir una autorizacin independiente cada vez que se copia la
informacin de produccin a un entorno de prueba.
La informacin de produccin que fue copiada a un entorno de pruebas se
debe borrar inmediatamente una vez que haya finalizado la prueba.
Se debe registrar la copia y el uso de informacin de produccin para
proporcionar un seguimiento de auditoria.

Figura 25 Tarea Crear datos de prueba y casos de prueba
3.3.7 Respuesta a incidentes
En Amisoft se tiene un proceso para gestin de incidencias, pero estas incidencias son
las que se producen en el lado del cliente y son resueltas por los programadores o
jefes de proyecto en Amisoft segn el proceso descrito y no tienen injerencia en los
procesos de seguridad de la informacin.
42
Se defini la actividad Respuesta a incidentes la cual est conformada por cuatro
tareas (ver Figura 26) que son descritas a continuacin:
Reportar incidente, cualquier miembro de la organizacin recopila la evidencia

e informacin los ms pronto posible despus de ocurrida la incidencia. Es
necesario informar al jefe de proyecto o CM mediante una llamada o un
correo electrnico.
Realizar anlisis del incidente, una vez que el incidente fue reportado es
necesario realizar un anlisis para determinar las causas del incidente y
agregarlo al registro de incidentes para mantener un registro del mismo. Este
registro lo hacen el administrador de la configuracin, el jefe de proyecto y el
jefe de proyecto de seguridad de la informacin.
Tomar medidas correctivas, posteriormente al anlisis realizado al incidente
reportado es necesario que el jefe de seguridad de la informacin tome
medidas correctivas para eliminar la causa que produjo el incidente. Las
medidas correctivas que se realizaron deben ser descritas en el registro de
incidentes.
Cierre del incidente, al finalizar el proceso para solucionar el incidente es
necesario darlo como cerrado. Para esto es necesario cambiar el estado de la
incidencia e indicar la fecha de cierre de la incidencia en el reporte de
incidentes.
43

Figura 26 Respuesta a incidentes
3.3.8 Continuidad del negocio
Debido a que Amisoft no tena un proceso para la evaluacin y tratamiento de riesgos

tampoco se tena procesos para la continuidad del negocio que se den como resultado
del manejo correcto de los riesgos. Por ende se defini la actividad de Continuidad del
negocio (ver Figura 27) la cual est compuesta por tres tareas y una actividad:
Realizar anlisis de impacto al negocio, determina requisitos de seguridad la

informacin y continuidad del negocio. Adems, identifica las necesidades que
tiene Amisoft con respecto a la recuperacin de las actividades que realiza,
determinar su prioridad y los costos necesarios para su recuperacin. El jefe de
seguridad de la informacin genera el artefacto Anlisis de impacto al negocio.
Diseo de estrategia de recuperacin, una vez que se ha realizado el anlisis
de impacto al negocio de las actividades y el riego se ha mitigado con el plan
44
de tratamiento de riesgo, es necesario realizar una estrategia de recuperacin
para el caso que las actividades hayan quedado indisponibles. El jefe de
seguridad de la informacin lo registra en la estrategia de recuperacin.
Mantenimiento y revisin, las estrategias deben ser probadas por parte del
rea de QA para que se asegure que estas funcionen de manera correcta.
Para esto se generan cuatro tareas (ver Figura 28):
o Generar plan de pruebas de estrategias, se genera el plan de pruebas,
donde se especifican los tipos de prueba que aplican a la estrategia y
los recursos a utilizar. El Jefe del SGSI debe aprobar el plan de pruebas
generado por el analista QA.
o Crear casos de prueba y datos de prueba de estrategias, se registran
los casos de prueba correspondientes en Testlink. Adems, se deben
definir los datos de prueba que se utilizarn en la ejecucin de pruebas
y el resultado esperado. Los datos de pruebas pueden ser generados
por el equipo de trabajo, el equipo de pruebas o proporcionados por el
cliente, lo cual debe quedar establecido en el Plan de Pruebas. Para los
datos de prueba se debe evitar el uso de datos operacionales que
contienen informacin personal identificable o cualquier otro tipo de
informacin confidencial. Si se utiliza informacin personal identificable
o informacin confidencial para fines de prueba, todos los detalles y
contenido sensible se debe proteger mediante su retiro y modificacin.
El analista QA registra las pruebas en Testlink.
o Ejecutar pruebas de estrategias, se ejecutan las acciones y
procedimientos establecidos para cada prueba, aplicando los casos de
prueba definidos y los datos de pruebas generados para tal efecto. La
finalidad es validar la funcionalidad de la aplicacin. Los errores
encontrados son registrados por el analista QA en Mantis y deben ser
corregidos por la persona asignada en cada uno de ellos. Esta tarea se
ejecuta hasta que no existan ms defectos o hasta que el cliente
autorice el paso del producto con los errores debidamente identificados
y a conciencia (caso del producto no conforme).
o Realizar aprobacin QA de estrategia, luego de que el rea de QA
verific que la estrategia cumple con todas las especificaciones, da la
autorizacin para que pueda ser implantada en el manual.
45

Figura 27 Continuidad del negocio
46
Figura 28 Mantenimiento y revisin
3.3.9 Auditora interna
Amisoft cuenta con un proceso de auditora de procesos y de productos, por lo que se

toma de base este proceso para generar el proceso de Auditora de seguridad. Esta es
una actividad que se encuentra compuesta por las cuatro tareas y una actividad (ver
Figura 29):
Seleccionar auditores, el jefe del SGSI propone al equipo auditor que ser
integrado por un auditor lder y un nmero suficiente de auditores segn el
tamao del SGSI a auditar.
Elaboracin del Plan de auditora interna, el Auditor Lder prepara y comunica
el plan de auditora con antelacin mnima de una semana a los involucrados
(auditores y auditados). el plan de auditora, debe asegurar que los auditores
no auditen su propio trabajo, y/o que no auditen el rea donde hayan trabajado
anteriormente en un perodo de seis meses.
Revisin del plan de auditora, el plan de auditora debe ser revisado por los
auditados y formalmente aprobado por el Jefe del SGSI o quien solicite la
auditora. Esta tarea genera el Checklist de auditoria.
Elaboracin de checklist de auditora, el Auditor Lder debe asignar a cada
auditor interno los elementos especficos auditar. Los auditores
elaboran/actualizan los checklist asignados.
Realizacin de la auditora, esta es una actividad que se ejecuta al finalizar las
tareas anteriores y la conforman cinco tareas (ver Figura 30):
o Reunin de apertura, se presenta el equipo de auditores al rea
auditada y se establece la comunicacin oficial. Se revisan los
alcances, objetivos, procedimiento y mtodos de auditora que sern
utilizados. El Auditor Lder informa de los puntos dbiles y las reas de
preocupacin detectadas durante la elaboracin del plan de la auditoria.
Se recibe la retroalimentacin de los problemas y preocupaciones
detectados segn los auditados. El equipo de auditor asegura la
disponibilidad de los recursos para realizar la auditora. Finalmente, se
confirma el cronograma de las reuniones establecidas y el tiempo y
fecha para la reunin final. Los artefactos asociados son: el plan de
auditoria interna, el checklist de auditoria y la minuta de reunin.
47
o Recoleccin de la evidencia, el equipo de auditora interna es
responsable de recopilar, verificar y registrar toda la evidencia objetiva y
registros de seguridad que demuestren la adherencia y cumplimiento de
los requisitos de seguridad enunciado en el manual de seguridad de la
informacin, con el apoyo de los checklist previamente elaborados. el
equipo de auditora se rene de manera constante, segn lo planificado
en el plan de auditora, para compartir hallazgos, homologar criterios,
identificar reas de oportunidad y no conformidades encontradas y
retroalimentar al equipo de auditores internos.
o Anlisis y documentacin de la evidencia recolectada, el equipo de
autora interna debe resumir los datos recolectados en informacin til
para detectar posibles problemas. La informacin recolectada es
analizada para determinar si un problema es crtico, mayor o menor,
analizar sus riesgos y consecuencias e investigar las causas de estos
problemas. El equipo de auditora interna documenta los hallazgos
encontrados en la lista de observaciones y no conformidades,
identificando claramente cules pertenecen a no conformidades y
observaciones, apoyndose en el procedimiento de acciones
correctivas y preventivas.
o Realizar informe de auditora, el Auditor Lder, con el apoyo del equipo
de auditora, elabora el informe de auditora, el cual contiene la
informacin sobre la conduccin de la auditora, los hallazgos
realizados y las conclusiones derivadas. Adems de promover las
acciones preventivas y correctivas. A partir de la fecha de reunin de
cierre, el equipo auditor tiene un plazo de cinco das hbiles, para
confeccionar el informe de la auditora. Dicho informe debe ser
distribuido al Jefe del SGSI y a los auditados.
o Reunin de cierre y retroalimentacin de los auditados, se presentan las
observaciones y no conformidades a los auditados, se explican los
resultados de la auditora. Se aclaran las diferencias aun existentes
entre el equipo auditor y auditado. Se genera la minuta de reunin.
48
Figura 29 Auditoria de seguridad
Figura 30 Realizacin de la auditoria
49
3.3.10 Copias de seguridad
Amisoft no contaba con un proceso definido para realizar las copias de seguridad.
Estas se realizaban solo en casos puntuales y los respaldos se mantenan en el
mismo lugar que el archivo original. Gracias a la Poltica de creacin de copias de
seguridad se define la actividad Copias de seguridad dentro de la Administracin de la
configuracin. Esta actividad comprende las siguientes dos tareas (ver Figura 31) que
reducen el impacto de un riesgo al no tener copias de seguridad de los servidores.
Realizar copias de seguridad, realiza copias de seguridad de los diferentes

servidores que se utilizan en Amisoft para reducir el riesgo de prdida de
informacin ante algn tipo de incidencia. La tarea es realizada por el
administrador de la configuracin obteniendo la copia de seguridad como
artefacto.
Prueba copias de seguridad, una vez que las copias de seguridad fueron
realizadas es necesario realizar una prueba sobre estas para saber que esta
funcione correctamente y de esta manera tenerlas disponibles al momento de
un incidente.
Figura 31 Copias de seguridad
3.3.11 Requisitos legales y contractuales
Dentro de la APF es necesario tener una tarea que se encargue de evitar

incumplimientos a las obligaciones legales, normativas o contractuales relacionados
50
con la seguridad de la informacin. Para esto se crea la tarea Identificacin de
requisitos de legislacin, normativos y contractuales (ver Figura 32), esta tarea se
encuentra junto a las dems tareas de auditoria ya que es dentro de este proceso que
se verifica que se cumpla con los requisitos legales. Aqu el analista PPQA, el gerente
de proyectos y la Gerencia General elaboran la Lista de requisitos legales, normativos
y contractuales.
Figura 32 Identificacin de requisitos de legislacin, normativos y contractuales
51
4 Verificacin y Validacin
Durante este captulo se detallan los procesos de verificacin y validacin del trabajo
realizado. En la seccin 4.1 se describe el proceso que fue realizado internamente en
Amisoft mientras que la seccin 4.2 explica la validacin con un experto externo y
como se calific a Amisoft en una auditoria real.
4.1 Verificacin
En el proceso de verificacin se utiliza la norma ISO/IEC 27002:2013. Esta norma se

utiliz como un checklist de verificacin que sirvi para comprobar que cada una de
tareas, documentos o polticas que fueron definidas para el APF se ajustan a uno o
varios controles que fueron declarados como aplicados para el contexto de Amisoft.
El personal a cargo de la verificacin es el jefe de proyecto SGSI y el jefe de proyecto

SGC. La tcnica usada para la verificacin fue que cada una de las polticas y tareas
junto con sus artefactos resultantes estn acordes con la informacin solicitada en los
objetivos de los controles.
Para explicar este proceso se toma como ejemplo el control 8.1.1 Inventario de
Activos, en la cual la norma indica: Se deberan identificar los activos asociados a la
informacin y las instalaciones de procesamiento de informacin y se debera elaborar
y mantener un inventario de estos activos. Al contrastar el control que indicado por la
normal con nuestro proceso tenemos que la tarea inventario de activos cumple con lo
indicado por el control dado que esta tarea genera un artefacto con el nombre de
Inventario de activos en la cual estn identificados cada uno de los activos de Amisoft.
De esta manera queda comprobado que se cumple con el control.
Mediante esta tcnica se estableci que se satisfacen 41 controles (ver Tabla 3) de los
64 que fueron definidos como aplicables por parte de Amisoft. Los 23 controles
faltantes se encuentran fuera del alcance de este tema de tesis.
ID Control definido
A.5.1.1 Polticas para la seguridad de la informacin
A.5.1.2 Revisin de las polticas para la seguridad de la informacin
Revisiones de los roles y responsabilidades de la seguridad en la

A.6.1.1
informacin
52
A.6.1.2 Segregacin de deberes
A.6.2.1 Poltica de dispositivos mviles
A.6.2.2 Teletrabajo
A.7.1.1 Seleccin
A.7.1.2 Trminos y condiciones de empleo
A.8.1.1 Inventario de activos
A.8.1.2 Propiedad de los activos
A.8.1.3 Uso aceptable de activos
A.9.1.1 Poltica de control de acceso
A.9.1.2 Acceso a redes y servicios de red
A.9.2.1 Registro y cancelacin de registro de usuarios
A.9.2.2 Entrega de acceso a los usuarios
A.9.2.4 Administracin de la informacin de autenticacin secreta de los usuarios
A.9.2.5 Revisin de los derechos de acceso de usuarios
A.9.3.1 Uso de informacin de autenticacin secreta
A.9.4.1 Restriccin de acceso a la informacin
A.9.4.5 Control de acceso al cdigo de fuente del programa
A.12.1.1 Procedimientos operativos documentados
A.12.1.2 Administracin de cambios
A.12.1.4 Separacin de entornos de desarrollo, pruebas y operacionales
A.12.3.1 Respaldo de informacin
A.12.5.1 Instalacin de software en sistemas operacionales
A.13.2.4 Confidencialidad de los acuerdos de no divulgacin
A.14.1.1 Anlisis y especificacin de los requisitos de seguridad de la informacin
A.14.2.1 Poltica de desarrollo seguro
A.14.2.2 Procedimientos de control de cambios del sistema
A.14.2.5 Principios de ingeniera segura del sistema
A.14.2.6 Entorno de desarrollo seguro
53
A.14.2.8 Pruebas de seguridad del sistema
A.14.2.9 Pruebas de aceptacin del sistema
A.14.3.1 Proteccin de los datos de pruebas
A.16.1.1 Responsabilidades y procedimientos
A.16.1.2 Informe de eventos de seguridad de la informacin
A.16.1.5 Respuesta ante incidentes de seguridad de la informacin
A.17.1.1 Planificacin de la continuidad de la seguridad en la informacin
A.17.1.2 Implementacin de la continuidad de la seguridad de la informacin
A.17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la informacin
Identificacin de los requisitos de legislacin y contractuales

A.18.1.1
correspondientes
Tabla 3 Controles definidos
4.2 Validacin
Una vez finalizado el trabajo establecido para este proyecto de tesis fue necesario que
se realice una validacin objetiva por parte de un experto externo a la empresa, quien
es la ingeniera Janeth Calle y ha trabajado tres aos en temas concernientes a
seguridad de la informacin y en especial en la norma ISO, as tambin actualmente
esta finalizando su magister en Seguridad y Peritaje informtico. El experto determin
el grado de adherencia de los procesos definidos en esta tesis con respecto a la
norma ISO/IEC 27001:2013. Al final de la etapa de validacin se obtuvieron las
observaciones presentadas por parte del auditor, las cuales sern tomadas como
mejoras futuras al proceso.
4.2.1 Metodologa
La metodologa usada para la validacin fue realizar una auditora de la misma

manera en la que se realizara una auditora de certificacin de la norma. Para ello se
realizaron las siguientes actividades:
1. Elaboracin del plan de auditora, el Auditor Lder defini los objetivos, el

alcance donde se establece los procesos a ser auditados, el cronograma para
la auditoria y los recursos necesarios.
54
2. Revisin del plan de auditora, el plan de auditora realizado en la fase anterior
se revis y aprob por el Jefe del SGSI (al no existir todava formalmente este
cargo en la empresa, este fue tomado por el autor de esta tesis).
3. Reunin de apertura, se revisaron los alcances, objetivos, procedimiento y
mtodos de auditora a utilizarse; se confirma el cronograma de las reuniones
establecidas y el tiempo y fecha para la reunin final.
4. Recoleccin de la evidencia, el Auditor Lder fue responsable de recopilar,
verificar y registrar toda la evidencia objetiva y registros de seguridad que
demostraron la adherencia y cumplimiento de los requisitos de seguridad
enunciados en la Poltica de seguridad de la informacin y contrastados con la
norma ISO/IEC 27001:2013.
5. Anlisis y documentacin de la evidencia recolectada, la informacin
recolectada fue analizada por el Auditor Lder y clasific los hallazgos
encontrados en:
No conformidades, representan faltas parciales o completas de algn
requisito de la norma.
Observaciones, corresponden a sugerencias indicadas por el auditor
para la mejora del SGSI.
6. Realizar informe de auditora, el Auditor Lder elabor el informe de auditora, el
cual contiene la informacin sobre la conduccin de la auditora, los hallazgos
realizados y las conclusiones derivadas. Adems de promover las acciones
correctivas.
7. Reunin de cierre y retroalimentacin, una vez finalizada la auditoria se realiz
la reunin de cierre en la que se presentaron las observaciones y no
conformidades, junto con la explicacin de los resultados de la auditora.
De acuerdo a la metodologa indicada, las clusulas de la norma ISO/IEC 27001:2013

escogidos para la validacin en la etapa de elaboracin del plan de auditoria se
encuentran especificados en la Tabla 4.
ID Clusula
5.1 Liderazgo y compromiso
5.2 Poltica
5.3 Roles organizacionales, responsabilidades y autoridades
6.1 Acciones para abordar los riesgos y las oportunidades
55
6.2 Objetivos de la seguridad de la informacin y planificacin para lograrlos
7.1 Recursos
7.2 Competencias
7.3 Conocimiento
7.4 Comunicacin
7.5 Informacin documentada
8.1 Control y planificacin operacional
8.2 Evaluacin de riesgo de la seguridad de la informacin
8.3 Tratamiento de riesgo de la seguridad de la informacin
9.1 Monitoreo, medicin, anlisis y evaluacin
9.2 Auditoria interna
9.3 Revisin de gestin
10.1 No conformidades y acciones correctivas
10.2 Mejora continua

Tabla 4 Clusulas a ser revisadas en la auditora
4.2.2 Resultado de la validacin
Una vez que finaliz el proceso de validacin, el evaluador externo present el informe
de auditora con las observaciones y no conformidades que son presentados en la
Tabla 5 y Tabla 6 en las que la columna Referencia indica el tem correspondiente a la
norma ISO/IEC 27001:2013 o en el caso de que la referencia tenga una letra A
corresponde a la ISO/IEC 27002:2013. La columna Detalle describe la observacin o
no conformidad encontrada. La Tabla 5 muestra las observaciones, las cuales son
oportunidades de mejora pero que no interferiran en un proceso de certificacin. Por
otro lado en la Tabla 6 se encuentran las no conformidades. Si es que estas no son
corregidas para una prxima auditoria, no se podr lograr la certificacin deseada.
En el Anexo D se encuentra el informe de acuerdo al formato que es utilizado en

Amisoft para las auditorias.
56
Observaciones
Referencia Detalle
En el objetivo de la Poltica de seguridad de la informacin no

5.2
se indica la integridad de la informacin.
Incluir referencia en la Poltica de seguridad de la informacin

6.2 al documento GS-PPP-SGSI-001 Plan de Proyecto dado que
los objetivos se encuentran descritos en este documento.
Revisar que la fecha de vigencia del documento sea la

Todos los documentos
correcta.
Indicar en la Poltica sobre dispositivos mviles y teletrabajo

A.6.2 si la herramienta para teletrabajo es gratuita o de pago, en el
caso de ser de pago quien gestionar la licencia.
Dentro de la poltica de uso aceptable en el tem 3.10

Responsabilidades sobre la clave se repite la misma
A.9
informacin que en la Poltica de claves, por lo que se
debera hacer referencia a la poltica.
Tabla 5 Informe de observaciones
No Conformidades
Referencia Detalle
No se cumple el punto correspondiente a comunicacin

debido a que no se especifica el lugar en el que se
7.4
encuentran las polticas ni la forma en la cual se va a realizar
la comunicacin de las mismas.
Las mediciones que se llevarn a cabo al finalizar el proyecto

9.1 no se encuentran registradas en el documento Plan de
proyecto.
La poltica de continuidad del negocio hace referencia al plan

A.17
de continuidad del negocio pero no existe este documento.
La poltica de creacin de copias de seguridad no indica el

A.12.3.1 lugar acorde a las necesidades de la empresa en la cual se
deban resguardar las copias realizadas.
Tabla 6 Informe de No Conformidades
4.2.3 Acciones tomadas
El que existieran no conformidades en la auditoria realizada por el experto quiere decir

que las polticas que fueron definidas no satisfacen a la norma por lo tanto los
57
procesos resultantes de estos no son adheridos a la norma. Por esta razn una vez
finalizada la validacin por parte del auditor se tomaron los resultados obtenidos, se
realizaron las modificaciones a las polticas para que las observaciones (ver Tabla 7) y
ms importante an las no conformidades (ver Tabla 8) fueran solucionadas.
Observaciones
Referencia Accin correctiva
Se agregar integridad en el objetivo de la Poltica de

5.2
seguridad de la informacin.
Se incluye referencia en la Poltica de seguridad de la

informacin al documento GS-PPP-SGSI-001 Plan de
6.2
Proyecto dado que los objetivos se encuentran descritos en
este documento.
Se revisa la fecha de vigencia de cada uno de los

Todos los documentos
documentos y polticas.
Se indicar en la Poltica sobre dispositivos mviles y

A.6.2 teletrabajo que la herramienta para teletrabajo se utilizar la
versin gratuita.
Se elimina el tem 3.10 del documento responsabilidades

A.9
sobre y se hace referencia a la poltica de claves.
Tabla 7 Acciones correctivas para observaciones
No Conformidades
Referencia Accin correctiva
Se especifica el lugar donde se encuentran las polticas

7.4 (servidor de documentos) y se indica que el jefe de proyecto
realizar la comunicacin de las mismas.
Se elaborar un documento de plan de proyecto para el

9.1 SGSI el cual ser llenado por jefe de seguridad de la
informacin.
A.17 Se elimina la referencia al plan de continuidad del negocio.
Se describe en la poltica de creacin de copias de seguridad

A.12.3.1
el lugar en el cual se deban resguardar las copias realizadas.
Tabla 8 Acciones correctivas para no conformidades
58
Conclusiones y Trabajo Futuro
4.3 Conclusiones
Con la elaboracin del proyecto de tesis Definicin y validacin de procesos de

gestin de seguridad de la informacin para la empresa Amisoft se logr obtener una
APF mejorada. En esta APF se dise y agreg un nuevo proceso con el nombre de
seguridad de la informacin, as como tambin se modificaron procesos para que
cumplan con las polticas de seguridad.
De esta manera se puede concluir que se cumpli con el objetivo principal y con los
objetivos secundarios:
Se desarrollaron veintisis nuevos documentos para soportar los procesos de

seguridad de la informacin.
Se disearon ocho polticas que sirven de base a los procesos de seguridad de
la informacin.
Se modificaron seis procesos existentes en la APF y se agreg un proceso
nuevo para manejo de la seguridad.
Tambin se obtuvieron los siguientes resultados:
Se obtuvo un proceso ms completo, como se pudo observar en esta tesis se

cre un nmero importante de tareas nuevas las cuales tienen artefactos de
salida que deben ser llenados.
Si bien el proceso de el APF es ms pesado se espera solucionar un problema
que aqueja a Amisoft en el tema de seguridad. El APF con las modificaciones
realizadas mejora su gestin de riesgos, recursos humanos, gestin de
activos, controles de acceso, respuesta a incidentes y continuidad del negocio.
Sin embargo debido a la extensin de la norma y a que no se definieron todos
los procesos de esta todava presenta debilidades en las seguridades fsicas
de servidores, clasificacin de la informacin de acuerdo a roles y la gestin
de proveedores.
Se busc que estos procesos afecten de la menor manera posible a la forma
de trabajar de los empleados de Amisoft. Por esta razn, la mayor cantidad de
tareas son realizadas por el rol responsable de la seguridad (diecinueve
59
tareas), mientas que los programadores (quienes son la mayor cantidad de
empleados) realizan la menor cantidad de tareas de seguridad (cinco tareas).
4.4 Trabajo a futuro
Si bien los objetivos de la tesis se cumplieron a cabalidad, todava existe trabajo que
se debe realizar a futuro para cumplir con una correcta gestin de la seguridad de la
informacin en Amisoft.
4.4.1 Implantacin de la APF mejorada
La APF resultante del tema de tesis no se encuentra implantada completamente en

Amisoft por lo que ser necesario realizar un proyecto piloto en la cual se utilice esta
APF para posteriormente ser implementada en toda la empresa.
Adems, es necesario un programa de capacitacin de seguridad de la informacin

para los empleados. Junto con los procesos mejorados es necesario realizar un
proceso de internalizacin a los empleados para que entiendan tanto las
modificaciones realizadas y los documentos asociados, as como tambin cuales son
las ventajas se han obtenido.
4.4.2 Obtener certificacin ISO/IEC 27001:2013
Una vez que la APF sea aplicada a toda la empresa el objetivo de esta es conseguir
la certificacin ISO/IEC 27001:2013. Debido a que el rubro de negocio de Amisoft
implica manejar informacin confidencial al tener esta certificacin obtiene una ventaja
ante sus competidores comerciales dando la confianza a sus clientes de que su
informacin se encuentra segura.
4.4.3 Definir e implementar el tem A11.1.1 correspondiente a

Permetro de seguridad fsica
En Amisoft se decidi dejar este tem fuera del primer trabajo, pero la recomendacin
por parte del auditor en la fase de validacin fue que este tem se debera tener en
cuenta implementarlo posteriormente. Esto es debido a que los servidores
actualmente se encuentran en lugares que no son ptimos para albergar la
informacin de manera ptima. Si bien Amisoft no cuenta con un lugar solo para los
servidores en este momento, se debe analizar esta situacin teniendo en cuenta el
nivel de crecimiento de la empresa.
60
Bibliografa
[Brit07] British Standards Institution. TickIT Guide, 2007.
[Coso13] Committee of Sponsoring Organizations of the Treadway Commission.

Internal Control - Integrated Framework, 2013.
[Epfc12] Eclipse Process Framework Composer, 2012. URL:

http://www.eclipse.org/epf/tool_component/tool_index.php (Last visit: December 2014).
[Fede09a] Federico Santa Mara Technical University (Chile). Tutelkan Reference

Process (TRP) Versin 2.0 Parte 2: TRP Bsico, 2009. URL:
http://www.tutelkan.info/blog/wp-content/uploads/2009/06/trp-v20-basico.pdf (Last visit:
December 2014).
[Fede09b] Federico Santa Mara Technical University (Chile). Tutelkan Reference

Process (TRP) Versin 2.0 Parte 3: TRP Avanzado, 2009. URL:
http://www.tutelkan.info/blog/wp-content/uploads/2009/06/trp-v20-avanzado.pdf (Last
visit: December 2014).
[Isac12] Isaca. Cobit 5 For Information Security, Isaca, 2012.
[Iso08] ISO/IEC. ISO/IEC 9001:2008, Quality management systems - Requirements,

2008.
[Iso13a] ISO/IEC. ISO/IEC 27001:2013, Information security management, 2013.
[Iso13b] ISO/IEC. ISO/IEC 27002:2013, Information technology - Security techniques -

Code of practice for information security controls, 2013.
[Open07] The Open Unified Process (OpenUP), 2007. URL:

http://epf.eclipse.org/wikis/openup/ (Last visit: December 2014).
[Sei10] Software Engineering Institute. CMMI for Development, Version 1.3, (CMMI-
DEV, V1.3), Technical Report CMU/SEI-2010-TR-033, 2010.
[FCSH14] Contribucin de la norma ISO/IEC 27000 en la gestin de seguridad de la

informacin 2014. URL: http://www.fcsh.espol.edu.ec/ISO_AnaChacon (Last visit:
December 2014).
[MCAM13] Empresa Amisoft, Manual de Calidad, Versin 1.3, 2013.
61
Anexos
Anexo A Tabla de controles seleccionados y su estado
En la Tabla 9 se listan cada uno de los controles que fueron elegidos para la definicin
por parte de Amisoft. As tambin se indica en el estado que se encontraban cada uno
al momento de realizar la etapa de diagnstico.
ID Controles segn la norma ISO/IEC 27001 Estado
A.5 Polticas de seguridad de la informacin
A.5.1 Direccin de la gerencia para la seguridad de la informacin
A.5.1.1 Polticas para seguridad de la informacin No implementado
Revisin de polticas para seguridad de la No implementado

A.5.1.2 informacin
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna
Roles y responsabilidades sobre seguridad de la No implementado

A.6.1.1 informacin
A.6.1.2 Segregacin de deberes Parcialmente Implementado
A.6.1.3 Contacto con autoridades No implementado
A.6.1.4 Contacto con grupos de inters especial No implementado
Seguridad de la informacin en gestin de No implementado

A.6.1.5 proyectos
A.6.2 Dispositivos mviles y tele-trabajo
A.6.2.1 Poltica sobre dispositivos mviles No implementado
A.6.2.2 Tele-trabajo No implementado
A.7 Seguridad relacionada con el personal
A.7.1 Antes del empleo
62
A.7.1.1 Seleccin Implementado
A.7.1.2 Trminos y condiciones de empleo Parcialmente Implementado
A.7.2 Durante el empleo
A.7.2.1 Responsabilidades de la direccin Parcialmente Implementado
Concienciacin, educacin y capacitacin sobre No implementado

A.7.2.2 Seguridad de la informacin
A.7.2.3 Proceso disciplinario No implementado
A.7.3 Despido y cambio de empleo
Despido o cambio de responsabilidades en el No implementado

A.7.3.1 empleo
A.8 Gestin de activos
A.8.1 Responsabilidad sobre los activos
A.8.1.1 Inventario de activos No implementado
A.8.1.2 Propiedad de los activos No implementado
A.8.1.3 Uso aceptable de los activos No implementado
A.8.1.4 Devolucin de activos No implementado
A.9 Control de acceso
A.9.1 Requisitos comerciales del control de acceso
A.9.1.1 Poltica de control de acceso No implementado
A.9.1.2 Acceso a redes y a servicios de red No implementado
A.9.2 Gestin de acceso del usuario
A.9.2.1 Registro y cancelacin de registros de usuarios Parcialmente Implementado
A.9.2.2 Entrega de acceso a los usuarios No implementado
63
Administracin de derechos de acceso Parcialmente Implementado

A.9.2.3 privilegiado
Administracin de la informacin secreta de Parcialmente Implementado

A.9.2.4 autenticacin de los usuarios
A.9.2.5 Revisin derechos de acceso de usuarios No implementado
A.9.2.6 Eliminacin o ajuste de derechos de acceso No implementado
A.9.3 Responsabilidades de los usuarios
A.9.3.1 Uso de informacin secreta de autenticacin No implementado
A.9.4 Control de acceso de sistemas y aplicaciones
A.9.4.1 Restriccin de acceso a la informacin Parcialmente Implementado
Control de acceso al cdigo fuente del Implementado

A.9.4.5 programa
A.11 Seguridad fsica y ambiental
A.11.2 Equipos
Seguridad de los equipos y los activos fuera de No implementado

A.11.2.6 las dependencias
A.11.2.7 Eliminacin o reutilizacin segura de equipos No implementado
A.11.2.8 Equipos de usuario no supervisados No implementado
A.12 Seguridad de las operaciones
A.12.1 Procedimientos y responsabilidades operacionales
A.12.1.1 Procedimientos operativos documentados Implementado
A.12.1.2 Administracin de cambios Implementado
Separacin de entornos de desarrollo, prueba y Implementado

A.12.1.4 produccin
A.12.2 Proteccin contra malware
64
A.12.2.1 Controles contra el malware No implementado
A.12.3 Respaldo
A.12.3.1 Respaldo de informacin Parcialmente Implementado
A.13 Seguridad en las comunicaciones
A.13.2 Transferencia de informacin
Confidencialidad de los acuerdos de no No implementado

A.13.2.4 divulgacin
A.14 Adquisicin, desarrollo y mantenimiento de sistemas
A.14.1 Requisitos de seguridad de los sistemas de la informacin
Anlisis y especificacin de los requisitos de No implementado

A.14.1.1 seguridad de la informacin
A.14.2 Seguridad en los procesos de desarrollo y soporte
A.14.2.1 Poltica de desarrollo seguro Parcialmente Implementado
Procedimientos de control de cambios del Parcialmente Implementado

A.14.2.2 sistema
A.14.2.5 Principios de ingeniera segura del sistema Parcialmente Implementado
A.14.2.6 Entorno de desarrollo seguro Parcialmente Implementado
A.14.2.8 Prueba de seguridad del sistema Parcialmente Implementado
A.14.2.9 Prueba de aceptacin del sistema Parcialmente Implementado
A.14.3 Datos de prueba
A.14.3.1 Proteccin de datos de prueba Parcialmente Implementado
A.16 Administracin de los incidentes de seguridad de la informacin
A.16.1 Administracin de los incidentes y mejoras en la seguridad de la informacin
A.16.1.1 Responsabilidades y Procedimientos No implementado
65
Informe de eventos de seguridad de la No implementado

A.16.1.2 informacin
Informe de debilidades de seguridad de la No implementado

A.16.1.3 informacin
Evaluacin y decisin sobre los eventos de No implementado

Respuesta ante incidentes de seguridad de la No implementado

A.16.1.5 informacin
Aprendizaje de los incidentes de seguridad de la No implementado

A.16.1.6 informacin
Aspectos de seguridad de la informacin de la administracin de continuidad del

A.17 negocio
A.17.1 Continuidad de seguridad de la informacin
Planificacin de la continuidad de la seguridad No implementado

A.17.1.1 en la informacin
Implementacin de la continuidad de la No implementado

Verificacin, revisin y evaluacin de continuidad No implementado

A.17.1.3 de seguridad de la informacin
A.18 Cumplimiento
A.18.1 Cumplimiento con los requisitos legales y contractuales
Identificacin de los requisitos de legislacin y Parcialmente Implementado

A.18.1.1 contractuales correspondientes
A.18.1.2 Derechos de propiedad intelectual No implementado
A.18.1.3 Proteccin de registros No implementado
Privacidad y proteccin de informacin personal No implementado

A.18.1.4 identificable
66
A.18.1.5 Regulacin de controles criptogrficos No implementado
A.18.2 Revisiones de seguridad de la informacin
Revisin independiente de seguridad de la No implementado

A.18.2.1 informacin
Cumplimiento con las polticas y normas de No implementado

A.18.2.2 seguridad
A.18.2.3 Revisin del cumplimiento tcnico No implementado
Tabla 9 Controles seleccionados y su estado
67
Anexo B Tablas de descripcin de los controles seleccionados
En la Tabla 10 se describen los controles que fueron establecidos como no

implementados en Amisoft y que fueron definidos en el proceso de la tesis. La primera
columna corresponde al nombre de control, mientras que la segunda columna indica la
clasula a la cual pertenece el control.
Control Clusula
Polticas para seguridad de la informacin Polticas de seguridad de la informacin
Revisin de polticas para seguridad de la Polticas de seguridad de la informacin

informacin
Roles y responsabilidades sobre Organizacin de la seguridad de la

seguridad de la informacin informacin
Contacto con autoridades Organizacin de la seguridad de la

informacin
Contacto con grupos de inters especial Organizacin de la seguridad de la

informacin
Seguridad de la informacin en gestin de Organizacin de la seguridad de la

proyectos informacin
Poltica sobre dispositivos mviles Organizacin de la seguridad de la

informacin
Tele-trabajo Organizacin de la seguridad de la

informacin
Concienciacin, educacin y capacitacin Seguridad relacionada con el personal

sobre Seguridad de la informacin
Proceso disciplinario Seguridad relacionada con el personal
Despido o cambio de responsabilidades Seguridad relacionada con el personal

en el empleo
Inventario de activos Gestin de activos
Propiedad de los activos Gestin de activos
Uso aceptable de los activos Gestin de activos
Devolucin de activos Gestin de activos
Poltica de control de acceso Control de acceso
Acceso a redes y a servicios de red Control de acceso
68
Entrega de acceso a los usuarios Control de acceso
Revisin derechos de acceso de usuarios Control de acceso
Eliminacin o ajuste de derechos de Control de acceso

acceso
Uso de informacin secreta de Control de acceso

autenticacin
Seguridad de los equipos y los activos Seguridad fsica y ambiental

fuera de las dependencias
Eliminacin o reutilizacin segura de Seguridad fsica y ambiental

equipos
Equipos de usuario no supervisados Seguridad fsica y ambiental
Controles contra el malware Seguridad de las operaciones
Confidencialidad de los acuerdos de no Seguridad en las comunicaciones

divulgacin
Anlisis y especificacin de los requisitos Adquisicin, desarrollo y mantenimiento

de seguridad de la informacin de sistemas
Responsabilidades y Procedimientos Administracin de los incidentes de

seguridad de la informacin
Informe de eventos de seguridad de la Administracin de los incidentes de

informacin seguridad de la informacin
Informe de debilidades de seguridad de la Administracin de los incidentes de

informacin seguridad de la informacin
Evaluacin y decisin sobre los eventos Administracin de los incidentes de

de seguridad de la informacin seguridad de la informacin
Respuesta ante incidentes de seguridad Administracin de los incidentes de

de la informacin seguridad de la informacin
Aprendizaje de los incidentes de Administracin de los incidentes de

seguridad de la informacin seguridad de la informacin
Planificacin de la continuidad de la Aspectos de seguridad de la informacin

seguridad en la informacin de la administracin de continuidad del
negocio
Implementacin de la continuidad de la Aspectos de seguridad de la informacin

seguridad de la informacin de la administracin de continuidad del
negocio
Verificacin, revisin y evaluacin de Aspectos de seguridad de la informacin

continuidad de seguridad de la de la administracin de continuidad del
69
informacin negocio
Derechos de propiedad intelectual Cumplimiento
Proteccin de registros Cumplimiento
Privacidad y proteccin de informacin Cumplimiento

personal identificable
Regulacin de controles criptogrficos Cumplimiento
Revisin independiente de seguridad de Cumplimiento

la informacin
Cumplimiento con las polticas y normas Cumplimiento

de seguridad
Tabla 10 Controles y clusulas
A continuacin en la Tabla 11 se presentan los controles que se encontraban

parcialmente implementados con su item correspondiente a en APF al cual
corresponde cada uno.
Control tem en APF
Segregacin de deberes Definir responsabilidades y cargos
Trminos y condiciones de empleo Seleccionar y contratar nuevo personal
Registro y cancelacin de registros de Administracin de la configuracin

usuarios
Administracin de derechos de acceso Administracin de la configuracin

privilegiado
Administracin de la informacin secreta de Administracin de la configuracin

autenticacin de los usuarios
Restriccin de acceso a la informacin Administracin de la configuracin
Procedimientos operativos documentados Generar documentacin
Respaldo de informacin Administracin de la configuracin
Poltica de desarrollo seguro Administracin de requerimientos,

Administracin de la configuracin,
Pruebas
Procedimientos de control de cambios del Seguir y controlar cambios

sistema
Principios de ingeniera segura del sistema Administracin de requerimientos,

70
Pruebas
Entorno de desarrollo seguro Administracin de requerimientos,

Pruebas
Prueba de seguridad del sistema Pruebas
Prueba de aceptacin del sistema Pruebas
Proteccin de datos de prueba Pruebas
Identificacin de los requisitos de Auditorias

legislacin y contractuales
correspondientes
Tabla 11 Controles parcialmente implementados e tem correspondiente en APF
Finalmente, en la Tabla 12 se muestran los controles que se encontraban

completamente implementados junto con su correspondiente tem en el APF.
Control tem en APF
Seleccin Seleccionar y contratar nuevo personal
Control de acceso al cdigo fuente del Administracin de la configuracin

programa
Separacin de entornos de desarrollo, Integracin producto

prueba y operativo
Administracin de cambios Seguir y contralar cambios
Responsabilidades de la direccin Responsabilidades de la direccin

Tabla 12 Controles completamente implementados e tem correspondiente en APF.
71
Anexo C Tareas y artefactos
En la Tabla 13 se muestran las tareas con los roles que las ejecutan y los artefactos
resultantes.
Tarea Ejecuta Artefacto
Evaluacin de riesgos Grupo seguridad de la Cuadro de evaluacin de

informacin, Jefe de riesgos
Realizar cuadro de Grupo seguridad de la Cuadro de tratamiento de

tratamiento de riesgos informacin, Jefe de riesgos
Revisin de evaluacin y Grupo seguridad de la Cuadro de evaluacin de

tratamiento de riesgos informacin, Jefe de riesgos, Cuadro de
seguridad de la informacin tratamiento de riesgos
Elaborar plan de Jefe de seguridad de la Plan de tratamiento de

tratamiento de riesgos informacin riesgos
Definir declaracin de Jefe de seguridad de la Declaracin de

aplicabilidad informacin aplicabilidad
Elaboracin del informe de Jefe de seguridad de la Informe sobre evaluacin y

evaluacin y tratamiento de informacin tratamiento de riesgos
riesgos
Elaborar inventario de Administrador de la Inventario de activos

activos configuracin, Grupo
seguridad de la
informacin, Jefe de
seguridad de la
informacin, Subgerente de
RRHH
Establecer propietarios de Administrador de la Inventario de activos

los activos configuracin, Jefe de
seguridad de la
RRHH
Socializar el uso aceptable Jefe de seguridad de la Poltica de seguridad de la

de activos informacin informacin
Solicitud de acceso a jefe Usuarios Amisoft email

de proyecto
Evaluacin de acceso Jefe de proyecto email
Solicitar acceso al Jefe de proyecto email
72
administrador de la
configuracin
Generar acceso Administrador de la email

configuracin
Solicitar revocar acceso Jefe de proyecto email

administrador de la
configuracin
Revocar acceso Administrador de la email

configuracin
Revocar acceso por Administrador de la Poltica de control de

mantenimiento configuracin acceso
Difundir poltica de claves Usuarios Amisoft Poltica de claves
Generar clave Usuarios Amisoft Clave
Realizar cambio de clave Usuarios Amisoft Clave
Eliminar informacin Jefe de seguridad de la Inventario de activos

informacin
Destruccin de dispositivo Jefe de seguridad de la Inventario de activos

informacin
Evaluacin de riesgos Grupo seguridad de la Cuadro de evaluacin de

informacin, Jefe de riesgos
Realizar cuadro de Grupo seguridad de la Cuadro de tratamiento de

tratamiento de riesgos informacin, Jefe de riesgos
Revisin de evaluacin y Grupo seguridad de la Cuadro de evaluacin de

tratamiento de riesgos informacin Jefe de riesgos, Cuadro de
seguridad de la informacin tratamiento de riesgos
Elaborar plan de Jefe de seguridad de la Plan de tratamiento de

tratamiento de riesgos informacin riesgos
Definir declaracin de Jefe de seguridad de la Declaracin de

aplicabilidad informacin aplicabilidad
Elaboracin del informe de Jefe de seguridad de la Informe sobre evaluacin y

evaluacin y tratamiendo informacin tratamiento de riesgos
de riesgos
Elaborar inventario de Administrador de la Inventario de activos

activos configuracin, Grupo
seguridad de la
informacin, Jefe de
seguridad de la
73
RRHH
Establecer propietarios de Administrador de la Inventario de activos

los activos configuracin, Jefe de
seguridad de la
RRHH
Socializar el uso aceptable Jefe de seguridad de la Poltica de seguridad de la

de activos informacin informacin
Solicitud de acceso a jefe Usuarios Amisoft email

de proyecto
Evaluacin de acceso Jefe de proyecto email
Solicitar acceso al Jefe de proyecto email

administrador de la
configuracin
Generar acceso Administrador de la email

configuracin
Solicitar revocar acceso Jefe de proyecto email

administrador de la
configuracin
Revocar acceso Administrador de la email

configuracin
Revocar acceso por Administrador de la Poltica de control de

mantenimiento configuracin acceso
Difundir poltica de claves Usuarios Amisoft Poltica de claves
Generar clave Usuarios Amisoft Clave
Realizar cambio de clave Usuarios Amisoft Clave
Eliminar informacin Jefe de seguridad de la Inventario de activos

informacin
Destruccin de dispositivo Jefe de seguridad de la Inventario de activos

informacin
Reportar incidente Usuarios Amisoft Correo, llamada
Realizar anlisis del Administrador de la Registro de incidentes

incidente configuracin, Jefe de
seguridad de la
informacin, Jefe de
proyecto
Tomar medidas correctivas Jefe de seguridad de la Registro de incidentes
74
informacin
Cierre del incidente Jefe de seguridad de la Registro de incidentes

informacin
Anlisis de impacto al Grupo seguridad de la Anlisis de impacto al

negocio informacin, Jefe de negocio
Diseo de estrategia de Grupo seguridad de la Estrategia de recuperacin

recuperacin informacin, Jefe de
Generar plan de pruebas Analista QA Plan de pruebas y

de estrategias verificacin
Crear casos de prueba y Analista QA Testlink

datos de prueba de
estrategias
Ejecutar pruebas de Analista QA Mantis

estrategias
Realizar aprobacin QA de Analista QA Estrategia de recuperacin

estrategia
Seleccionar auditores Jefe de seguridad de la Auditor lder

informacin
Elaboracin del Plan de Auditor lder Plan de auditora interna

auditora interna
Revisin del plan de Jefe de seguridad de la Plan de auditora interna,

auditora informacin, Auditado Checklist de auditora
Elaboracin de checklist de Auditor lder Checklist de auditora

auditora
Reunin de apertura Auditado, Equipo auditor Checklist de auditora, Plan

de auditora, Minuta de
reunin
Recoleccin de la evidencia Auditado, Equipo auditor Checklist de auditora
Anlisis y documentacin Equipo auditor Lista de observaciones y no

de la evidencia recolectada conformidades
Realizar informe de Auditor lder Informe de auditora

auditora
Reunin de cierre y Auditado, Equipo auditor Minuta de reunin

retroalimentacin de los
auditados
Realizar copias de Administrador de la Copia de seguridad
75
seguridad configuracin
Prueba copias de seguridad Administrador de la Copia de seguridad

configuracin
Identificacin de requisitos Analista PPQA, Gerente de Lista de requisitos legales,

de legislacin, normativos y proyectos, Gerente general normativos y contractuales
contractuales
Tabla 13 Tareas, roles y artefactos nuevos
En la Tabla 14 se puede observar las tareas, roles y artefactos que ya se encontraban

implementados previo al trabajo de esta tesis en Amisoft que cumplian con la norma
ISO/IEC 27001:2013
Tarea Ejecuta Artefacto
Verificacin de Subgerente de RRHH Documentos de aspirante

antecedentes
Definir responsabilidades Subgerente de RRHH Declaracin de aceptacin

para la seguridad de la de documentos del SGSI,
informacin Declaracin de
confidencialidad
Evaluar impacto del cambio Jefe de proyecto Requerimientos de usuario,

Requerimientos de
software
Actualizar planes y otros Jefe de proyecto Carta Gantt, Especificacin

artefactos de requerimientos, plan de
proyecto, plan de pruebas,
Registrar rechazo Jefe de proyecto Requerimientos de usuario,

Requerimientos de
software
Seguir requerimientos Jefe de proyecto Evaluacin de estado
Generar lnea base Administrador de la Lnea base

configuracin
Administrar tems de Administrador de la tems de configuracin

configuracin configuracin
Actualizar lnea base Administrador de la Lnea base

configuracin
Seguir y controlar cambios Administrador de la Solicitud de requerimientos

configuracin
Comunicar resultados de Administrador de la Informe de CM
76
administracin de la configuracin
configuracin
Planificar pruebas Analista QA Plan de pruebas
Ejecutar pruebas Analista QA Plan de pruebas,

TESTLINK
Tabla 14 Tareas, roles y artefactos existentes previos a la tesis
77
Anexo D Informe de auditora
Fecha: 20-06-2015 Horario: 09:00 17:00 INFORME N 001
Auditor lder: Janeth Calle Salinas PLAN REF. N 001
Cliente: Amisoft
Objetivos Evaluar el grado de cumplimiento de los requisitos de la norma ISO/IEC 27001:2013
Alcances
Proceso(s) auditado(s): Auditados:
Liderazgo y compromiso
Poltica
Roles organizacionales, responsabilidades y autoridades
Acciones para abordar los riesgos y las oportunidades

Objetivos de seguridad de la informacin y planificacin
para lograrlos
Recurso
Competencias
Conocimiento
Comunicacin Andrs Molina

Informacin documentada
Control y planificacin operacional
Evaluacin de riesgo de seguridad de la informacin

Tratamiento de riesgo de seguridad de la informacin
Monitoreo, medicin, anlisis y evaluacin

Auditora interna
Revisin de gestin
No conformidades y acciones correctivas
Mejora continua
Procesos NO cubiertos por la auditora

Proceso(s) no cubiertos Razn
NA NA
Norma ISO/IEC 27001:2013
Poltica de seguridad de la informacin
Metodologa de gestin de riesgos

Criterios y
Documentos Poltica de continuidad del negocio
de referencia
Poltica de uso aceptable
Poltica de control de acceso
Poltica de dispositivos mviles
78
Poltica de claves
Poltica de eliminacin y destruccin
Poltica de gestin del cambio
Poltica de creacin de copias de seguridad
Cronograma
Hora
N Actividad Participantes Fecha Hora Fin Lugar
Inicio
Auditor lder, Andrs

1. Reunin Inicio 05-06 09:00 09:15 Sala de reuniones
Molina
Revisin Poltica de seguridad Auditor lder, Andrs

2. 05-06 09:15 09:45
de la informacin Molina
Revisin metodologa de gestin Auditor lder, Andrs

3. 05-06 09:45 10:15
de riesgos Molina
Revisin Poltica de continuidad Auditor lder, Andrs

4. 05-06 10:15 10:45
del negocio Molina
Revisin Poltica de uso Auditor lder, Andrs

5. 05-06 10:45 11:15
aceptable Molina
Revisin Poltica de control de Auditor lder, Andrs

6. 05-06 11:15 11:45
acceso Molina
Revisin Poltica de dispositivos Auditor lder, Andrs

7. 05-06 11:45 12:15
mviles Molina
Auditor lder, Andrs

8. Revisin Poltica de claves 05-06 12:15 12:45
Molina
Revisin Poltica de eliminacin Auditor lder, Andrs

9. 05-06 14:00 14:30
y destruccin Molina
Revisin Poltica de gestin del Auditor lder, Andrs

10. 05-06 14:30 15:00
cambio Molina
Revisin Poltica de creacin de Auditor lder, Andrs

11. 05-06 15:00 15:30
copias de seguridad Molina
12. Elaboracin Informe

Auditor lder 05-06 15:30 16:00
Auditor lder, Andrs

13. Reunin de Cierre
05-06 16:00 16:30
Molina
Lista Distribucin Informe Auditora
Nombre Cargo
Andrs Molina Jefe de proyecto SGSI
RESULTADOS DE LA AUDITORA (Hallazgos)

NO CONFORMIDADES
79
N Referencia No Conformidad
1. No se cumple el punto correspondiente a comunicacin debido a que no se especifica

7.4 el lugar en el que se encuentran las polticas ni la forma en la cual se va a realizar la
comunicacin de las mismas.
2. Las mediciones que se llevarn a cabo al finalizar el proyecto no se encuentran

9.1
registradas en el documento Plan de proyecto.
3. La poltica de continuidad del negocio hace referencia al plan de continuidad del

A.17
negocio pero no existe este documento.
4. La poltica de creacin de copias de seguridad no indica el lugar acorde a las

A.12.3.1
necesidades de la empresa en la cual se deban resguardar las copias realizadas.
OBSERVACIONES
N Referencia Observaciones
1. En el objetivo de la Poltica de seguridad de la informacin no se indica la integridad

5.2
de la informacin.
2. Incluir referencia en la Poltica de seguridad de la informacin al documento GS-PPP-

6.2 SGSI-001 Plan de Proyecto dado que los objetivos se encuentran descritos en este
documento.
3. Todos los documentos Revisar que la fecha de vigencia del documento sea la correcta.
4. Dentro de la poltica de uso aceptable en el tem 3.10 Responsabilidades sobre la

A.9 clave se repite la misma informacin que en la Poltica de claves, por lo que se
debera hacer referencia a la poltica.
5. Indicar en la Poltica sobre dispositivos mviles y teletrabajo si la herramienta para

A.6.2 teletrabajo es gratuita o de pago, en el caso de ser de pago quien gestionar la
licencia.
Observaciones al Informe:
Responsables del Informe de Auditora
Revis Auditor Lder: Aprob Jefe Auditados: Cliente de Auditoria:

Janeth Calle Andrs Molina Amisoft
80

Definicion y Validacion de Procesos de Gestion de Seguridad de La Informacion

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Definicion y Validacion de Procesos de Gestion de Seguridad de La Informacion

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSIDAD DE CHILE

FACULTAD DE CIENCIAS FISICAS Y MATEMATICAS

Amisoft tiene experiencia en el manejo de normas puesto que obtuvo la certificacin en la

1.1 Contexto .................................................................................................................................................... 1

1.2 Problema a resolver ............................................................................................................................. 2

1.3 Solucin .................................................................................................................................................... 4

1.4 Objetivos ................................................................................................................................................... 5

1.4.1 Objetivo Principal .............................................................................................................................................. 5

1.4.2 Objetivos Especficos ....................................................................................................................................... 5

1.5 Metodologa ............................................................................................................................................. 7

1.5.1 Diagnstico (Etapa 1) ...................................................................................................................................... 7

1.5.2 Definicin de Procesos (Etapa 2) ................................................................................................................ 7

1.5.3 Verificacin y Validacin (Etapa 3) ........................................................................................................ 10

2 Marco Terico ............................................................................................................................... 11

2.1 Amisoft Process Framework (APF) ............................................................................................... 11

2.1.1 Estructura del APF ......................................................................................................................................... 11

2.2 ISO/IEC 27001:2013 ........................................................................................................................... 12

2.3 ISO/IEC 27002:2013 ........................................................................................................................... 14

3 Diagnstico y Definicin ............................................................................................................ 16

3.1 Diagnstico ............................................................................................................................................ 16

3.1.1 Seleccin de controles a definir ................................................................................................................ 16

3.1.2 Diagnstico de la situacin actual ........................................................................................................... 17

3.2 Definicin de polticas ....................................................................................................................... 18

3.2.2 Poltica de uso aceptable ............................................................................................................................. 20

3.2.3 Poltica de control de acceso ...................................................................................................................... 21

3.2.4 Poltica de dispositivos mviles ............................................................................................................... 21

3.2.5 Poltica de claves ............................................................................................................................................. 23

3.2.6 Poltica de eliminacin y destruccin .................................................................................................... 24

3.2.7 Poltica de gestin del cambio ................................................................................................................... 25

3.2.8 Poltica de creacin de copias de seguridad ....................................................................................... 25

3.3 Definicin de procesos ...................................................................................................................... 26

3.3.1 Gestin de riesgos .......................................................................................................................................... 28

3.3.2 Recursos humanos ......................................................................................................................................... 31

3.3.3 Responsabilidad de los activos ................................................................................................................. 33

3.3.4 Control de acceso y claves .......................................................................................................................... 34

3.3.5 Procesos operativos para gestin de TI ................................................................................................ 38

3.3.6 Procesos de ingeniera segura del sistema .......................................................................................... 41

3.3.7 Respuesta a incidentes ................................................................................................................................. 42

3.3.8 Continuidad del negocio .............................................................................................................................. 44

3.3.9 Auditora interna ............................................................................................................................................ 47

3.3.10 Copias de seguridad .................................................................................................................................... 50

3.3.11 Requisitos legales y contractuales ........................................................................................................ 50

4 Verificacin y Validacin ........................................................................................................... 52

4.1 Verificacin ........................................................................................................................................... 52

4.2.1 Metodologa ...................................................................................................................................................... 54

4.2.2 Resultado de la validacin .......................................................................................................................... 56

4.2.3 Acciones tomadas ........................................................................................................................................... 57

Conclusiones y Trabajo Futuro ...................................................................................................... 59

4.3 Conclusiones ......................................................................................................................................... 59

4.4 Trabajo a futuro ................................................................................................................................... 60

4.4.1 Implantacin de la APF mejorada ........................................................................................................... 60

4.4.2 Obtener certificacin ISO/IEC 27001:2013 ........................................................................................ 60

4.4.3 Definir e implementar el tem A11.1.1 correspondiente a Permetro de seguridad fsica

Anexo A Tabla de controles seleccionados y su estado ..................................................................... 62

Anexo B Tablas de descripcin de los controles seleccionados ..................................................... 68

Anexo C Tareas y artefactos ........................................................................................................................ 72

Anexo D Informe de auditora ................................................................................................................... 78

Tabla 1 Documentos a implementar ............................................................................................. 6

Tabla 2 Estructura de la norma ISO/IEC 27001 .......................................................................... 13

Tabla 3 Controles definidos ......................................................................................................... 54

Tabla 4 Clusulas a ser revisadas en la auditora ...................................................................... 56

Tabla 5 Informe de observaciones .............................................................................................. 57

Tabla 6 Informe de No Conformidades ....................................................................................... 57

Tabla 7 Acciones correctivas para observaciones ...................................................................... 58