Table Of ContentMAESTRIA EN EVALUACIÓN Y AUDITORIA DE SISTEMAS
TECNOLÓGICOS
TEMA: “EVALUACIÓN DE SEGURIDAD DE INFORMACIÓN
EN EL PROCESO DE SEGUROS PREVISIONALES DEL ISSFA
BASADA EN NORMAS ISO: 27001”
AUTORES: PORRAS CABEZAS PAULINA CECILIA
SALAZAR FLORES JORGE GIOVANNI
DIRECTOR: ING. FIDEL CASTRO, MSc.
SANGOLQUÍ
2016
ii
UNIVERSIDAD DE LAS FUERZAS ARMADAS
ESPE
MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS
TECNOLÓGICOS
CERTIFICADO
ING. CASTRO FIDEL, Msc.
CERTIFICA
Que el trabajo titulado EVALUACIÓN DE SEGURIDAD DE
INFORMACIÓN EN EL PROCESO DE SEGUROS PREVISIONALES
DEL ISSFA BASADA EN NORMAS ISO: 27001 realizado por PORRAS
CABEZAS, PAULINA CECILIA y SALAZAR FLORES JORGE GIOVANNI , ha
sido guiado y revisado periódicamente y cumple normas estatuarias establecidas de
la Universidad de las Fuerzas Armadas-ESPE.
Debido a que el presente trabajo cumple con los objetivos establecidos se
recomienda su aplicación y publicación.
El mencionado trabajo consta de un documento empastado y disco compacto el cual
contiene los archivos en formato portátil de Acrobat (pdf). Autorizan a PORRAS
CABEZAS, PAULINA CECILIA y SALAZAR FLORES JORGE GIOVANNI que
lo entregue a ING. ARROYO RUBEN, Msc., en su calidad de Director de la Carrera.
Sangolquí, Mayo 2014
ING. CASTRO, FIDEL Msc. DIRECTOR
iii
UNIVERSIDAD DE LA FUERZAS ARMANDAS-ESPE
MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS
TECNOLÓGICOS
DECLARACIÓN DE RESPONSABILIDAD
PORRAS CABEZAS, PAULINA CECILIA
SALAZAR FLORES, JORGE GIOVANNI
DECLARAMOS QUE:
El proyecto de grado denominado EVALUACIÓN DE SEGURIDAD DE
INFORMACIÓN EN EL PROCESO DE SEGUROS PREVISIONALES
DEL ISSFA BASADA EN NORMAS ISO: 27001, ha sido desarrollado con
base a una investigación exhaustiva, respetando derechos intelectuales de terceros,
conforme las citas que constan el pie de las páginas correspondiente, cuyas fuentes se
incorporan en la bibliografía.
Consecuentemente este trabajo es de nuestra autoría.
En virtud de esta declaración, nos responsabilizamos del contenido, veracidad y
alcance científico del proyecto de grado en mención.
Sangolquí, Mayo 2014.
_____________________________________
PORRAS CABEZAS, PAULINA CECILIA
_____________________________________
SALAZAR FLORES, JORGE GIOVANNI
iv
UNIVERSIDAD DE LAS FUERZAS ARMADAS
ESPE
MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS
TECNOLÓGICOS
AUTORIZACIÓN
Yo, PORRAS CABEZAS, PAULINA CECILIA
Yo, SALAZAR FLORES, JORGE GIOVANNI
Autorizamos a la UNIVERSIDAD DE LA FUERZAS ARMANDAS-ESPE, la
publicación, en la biblioteca virtual de la Institución del trabajo EVALUACIÓN
DE SEGURIDAD DE INFORMACIÓN EN EL PROCESO DE
SEGUROS PREVISIONALES DEL ISSFA BASADA EN NORMAS
ISO: 27001, cuyo contenido, ideas y criterios son de nuestra exclusiva
responsabilidad y autoría.
Sangolquí, Mayo 2014
_____________________________________
PORRAS CABEZAS, PAULINA CECILIA
_____________________________________
SALAZAR FLORES, JORGE GIOVANNI
v
DEDICATORIA
El presente trabajo va dedicado a Dios, pilar fundamental en mi vida, quién me dio la
fuerza y sabiduría para culminar este proyecto.
A mi hija Ana Paula, fuente de inspiración razón por la cual existo y me esfuerzo
cada día, quien me cedió el tiempo que le pertenecía para que yo pudiera cumplir mi
sueño, te amo princesa.
A mi esposo Carlos Villavicencio, por motivarme a seguir adelante, por su paciencia
y afecto durante todo este tiempo.
A mi padre Víctor, por su gran ejemplo de tenacidad, constancia. A mi madre
Cecilia, por sus sabios consejos, su amor, y por cuidar de mi hija mientras realizaba
mis estudios.
A mis hermanas Lorena y Sthepannie, por darme la mano cuando más lo he
necesitado y por su inmenso cariño.
A todos mis familiares, abuelos, tíos, primos, suegros, cuñados, etc., que confiaron
en mí, me apoyaron y pusieron su granito de arena para que pudiera cumplir mi meta.
Paulina Porras Cabezas
A Gloria América y Jorge Orlando por su cariño incondicional, a Jeannett, Erick
David y Doménika por su ejemplo de comprensión y paciencia.
Giovanni Salazar Flores.
vi
AGRADECIMIENTO
De manera especial, agradecemos al ISSFA (Instituto Nacional de Seguridad Social
de las Fuerzas Armadas) y a su Director General el Gral. por darnos las facilidades
necesarias para realizar la presente tesis.
Agradecemos al Ing. Fidel Castro, nuestro Director de Tesis, y la Ing. Nancy
Velásquez, Oponente de Tesis, quienes con su experiencia y conocimientos supieron
guiarnos para realizar el presente proyecto.
A nuestros maestros, por compartir sus conocimientos, en especial al Ing. Mario Ron
B. por su amistad.
Paulina Porras Cabezas
Giovanni Salazar Flores
vii
INDICE DE CONTENIDOS
CERTIFICADO ....................................................................................................... II
DECLARACIÓN DE RESPONSABILIDAD ......................................................... III
AUTORIZACIÓN ................................................................................................. IV
DEDICATORIA .................................................................................................... IV
LISTADOS DE TABLAS ...................................................................................... XI
LISTADO DE FIGURAS ..................................................................................... XII
RESUMEN .......................................................................................................... XIV
ABSTRACT ......................................................................................................... XV
CAPITULO I ............................................................................................................1
PROBLEMA ............................................................................................................1
1.1. Generalidades .....................................................................................................1
1.1.1. Visión ............................................................................................................4
1.1.2. Misión ...........................................................................................................4
1.1.3. Organigrama ISSFA ......................................................................................4
1.2. Problema ............................................................................................................5
1.3. Interrogantes de la evaluación técnica informática ..............................................9
1.4. Objetivos ......................................................................................................... 10
1.4.1. Objetivo general .......................................................................................... 10
1.4.2. Objetivos específicos ................................................................................... 10
1.5. Justificación ..................................................................................................... 11
viii
1.6. Alcance ............................................................................................................ 11
1.7. Metodología de aplicación ............................................................................... 11
1.7.1. Metodología y técnicas de evaluación y auditoria. ....................................... 11
1.7.2. Métodos ...................................................................................................... 12
1.7.3. Técnicas ...................................................................................................... 12
CAPITULO II ......................................................................................................... 13
MARCO TEÓRICO ............................................................................................... 13
2.1. Introducción ..................................................................................................... 13
2.2. Tecnologías de la información .......................................................................... 13
2.3. Seguridad de la información ............................................................................. 15
2.3.1. Seguridad física ........................................................................................... 18
2.3.2. Seguridad lógica .......................................................................................... 20
2.4. Introducción a la auditoria informática ............................................................. 21
2.4.1. Conceptos sobre auditoría ............................................................................ 21
2.4.2. Campo de auditoría informática ................................................................... 27
2.4.3. Normas ISO 27000 ...................................................................................... 28
2.4.4. Sistema de gestión de seguridad de la información (SGSI)........................... 31
2.5. Metodologías y/o modelos de control utilizados en la auditoría de seguridad de
la información ......................................................................................................... 42
CAPITULO III ....................................................................................................... 52
PROGRAMA DE EVALUACIÓN TÉCNICA DE SEGURIDAD DE
INFORMACÍON EN EL PROCESO DE SEGUROS PREVISIONALES ............... 52
ix
3.1. Proceso de seguros previsionales del ISSFA .................................................... 52
3.1.1. Gestión de afiliación y cotización ................................................................ 53
3.1.2. Gestión de prestaciones ............................................................................... 82
3.2. Conocimiento y compresión de las actividades de la gerencia de tecnologías
de la información dentro del ISSFA ...................................................................... 110
3.2.1. Estructura de la UTIC ................................................................................ 111
3.2.1. Organigrama funcional de la institución..................................................... 111
3.3. Aplicación de las Normas ISO/ISEC: 27001 ................................................... 113
Análisis de Riesgos Basado en ISO/IEC:27005:2012 ..................................... 114
3.4. Planificación del programa de evaluación ....................................................... 123
3.4.1. Objetivo .................................................................................................... 123
3.4.2. Alcance ..................................................................................................... 123
3.4.3. Productos a entregar .................................................................................. 124
3.4.4. Herramientas a utilizar ............................................................................... 124
3.5. Investigación de campo .................................................................................. 124
3.5.1. Identificación de activos de la información ................................................ 124
3.5.2. Asignación de los activos de información a subprocesos ............................ 127
3.5.3. Calificación de activos de información ...................................................... 128
3.5.4. Asignación de amenazas a activos de información ..................................... 133
3.5.5. Análisis de riesgos ..................................................................................... 140
3.5.5.2. Determinación del impacto en el proceso del negocio analizado (BIA) . 143
3.5.5.3. Determinación de la probabilidad ......................................................... 147
x
3.5.5.4. Cálculo del riesgo ................................................................................. 147
3.5.5.5. Evaluación de riesgos ........................................................................... 148
3.5.5.6. Tratamiento del riesgo .......................................................................... 148
3.6. Utilización de controles de la Norma ISO/IEC 27002:2005 ............................ 151
3.7. Sistema informático para el análisis de riesgos ............................................... 152
3.8. Plan de tratamiento del riesgo ........................................................................ 156
3.9. Declaración de aplicabilidad de controles o SOA (Statement Of Aplicability) 166
CAPITULO IV ..................................................................................................... 167
INFORME FINAL DE LA EVALUACION TECNICA DE SEGURIDAD DE
INFORMACION EN EL PROCESO DE SEGUROS PREVISIONALES DEL
ISSFA ................................................................................................................... 167
4.1. Alcance .......................................................................................................... 167
4.2. Enfoque ......................................................................................................... 167
4.3. Plan de acción ................................................................................................ 258
CAPITULO V ...................................................................................................... 265
5.1. Conclusiones .................................................................................................. 265
5.2. Recomendaciones .......................................................................................... 267
5.3. Bibliografía .................................................................................................... 269
5.4. Listado de anexos ........................................................................................... 271
Description:Programas de juego complejos (ajedrez). COBIT. El IT Governance Institute fue establecido por ISACA (Information Systems. Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT.
