formato proyecto final
DESCRIPTION
Proyecto de grado basado en l aimplementacion de un Sistema de gestion de la seguridad de la informacion (SGSI), basado en la iso 27001/27002 Icontec, dirigida a una empresa de desarrollo de software.TRANSCRIPT
MODELO DE SEGURIDAD BASADO EN LA NORMATIVA 27001 Y 27002 PARA LA
EMPRESA COMPUCENTRO Ltda.
DIEGO FERNANDO BOTIA JIMENEZ
MARIO REINEL SOSA URICOCHEA
FUNDACION UNIVERSITARIA JUAN DE CASTELLANOS
FACULTAD DE INGENIERIA
PROYECTO DE GRADO
TUNJA
2015
MODELO DE SEGURIDAD BASADO EN LA NORMATIVA 27001 Y 27002 PARA LA
EMPRESA COMPUCENTRO Ltda.
DIEGO FERNANDO BOTIA
MARIO REINEL SOSA URICOCHEA
Docente guia:
Helena Clara Isabel Aleman Novoa
FUNDACION UNIVERSITARIA JUAN DE CASTELLANOS
FACULTAD DE INGENIERIA
PROYECTO DE GRADO I
TUNJA
2015
CAPITULO I. INTRODUCCION
En los últimos años en los cuales se han dado a conocer una gran cantidad de problemas a
la hora de tener una seguridad informática y de la información las cuales tienen un papel
determinante en cada empresa en cual haya acceso a la web. La gran falencia que ha
tenido estos ítems se ha visto deteriorado ya que en el manejo de la web en una empresa en
la cual se puede contener una gran cantidad de información y muy importante por ejemplo
datos personales , contraseñas de algunos datos importantes etc., por falta de precaución y
de inexperiencia por parte de algunos usuarios en cuanto al manejo redes o de los s.o en la
empresa compucentro ltda se puede ver vulnerado por cualquier tipo de malware o ataques
cibernéticos por parte de personas ajenas a la empresa .
Lo que se busca con este proyecto de investigación es diagnosticar la seguridad
de una empresa por medio de algunas evaluaciones al sistema de seguridad teniendo en
cuenta como punto de partida, protocolos, métodos, reglas, herramientas, también
buscamos proteger lo que se comprende como tal entre software (BD, metadatos, archivos),
hardware y así poder reconocer las falencias que este mismo puede tener, la seguridad de la
información es un proceso que busca tener como prioridad la confidencialidad , integridad
y disponibilidad las cuales son las características básicas de la información teniendo en
cuenta que este es el activo más importante dentro de la empresa compucentro Ltda. .
Es por esto que se planteara un modelo de seguridad informática y de la información
basado en la normativa ISO 27001: El estándar de seguridad de la información asi como de
su anexo la ISO 27002, para la empresa compucentro Ltd. ubicada en la ciudad de Tunja, el
cual nos ayudara a informarnos de las maneras de cómo es atacada la información de
nuestros equipos, servidores y con lo cual dar a conocer soluciones para los problemas que
estos mismos presentan y así llegar a tener una seguridad informática y de la información
excelente en la empresa.
1. PROBLEMA DE INVESTIGACIÓN
1.1. PLANTEAMIENTO DEL PROBLEMA.
La seguridad informática y de la información generalmente se basan en la normativa
ISO 27001: El estándar de seguridad de la información así como de su anexo la ISO
27002l para entrar en un ambiente de seguridad que permita detener un posible ataque
antes de que éste suceda (pro actividad). Siempre se ha tenido problemas en cuanto a la
confiabilidad, integridad, disponibilidad, y a sus dominios, ya que se falla en algunos
métodos generales de protección entre los cuales se comprenden sistemas para detectar
intrusos , conexiones de red , sistemas de análisis de vulnerabilidades , sistemas de
integridad y privacidad de la información , ya que por medio de la red . cualquier
persona con conocimiento mucho más amplio que el nuestro puede llegar a vulnerar
cualquier empresa, puede acceder a nuestra información y robarla , como también
pueden espiarnos y usar información personal en nuestra contra , lo que se quiere con
este modelo es evaluar la seguridad de la empresa compucentro ltda.
tomando en cuenta las posibles vulnerabilidades que puede tener compucentro ltda se
hará un examen a profundidad basados en la normativa ISO 27001: El estándar de
seguridad de la información así como de su anexo la ISO 27002 para poder valorar esta
empresa y cualquier otra ,ya que algunas empresas no tienen el mínimo conocimiento
de cómo manejar la seguridad lo que se busca también con este modelo es que las
personas se nutran y empiecen a identificar que problemas y como afectan a la empresa
como también ir conociendo los problemas que aparecen día a día y los ataques a estas
redes y bases de datos
.
1.2. HIPOTESIS DE INVESTIGACIÓN.
¡Al hacer una evaluación a profundidad basada en la normativa ISO 27001: El estándar de
seguridad de la información así como de su anexo la ISO 27002, se podrán identificar y
corregir las falencias de seguridad de compucentro ltda.?
1.3. PREGUNTA DE INVESTIGACIÓN.
¿La empresa Compucentro ltda posee un sistema de seguridad basado en la normativa ISO
27001: El estándar de seguridad de la información así como de su anexo la ISO 27002?
2. OBJETIVOS
2.1. OBJETIVO GENERAL
2.1.1. Diseñar un modelo de seguridad informática y de la información para la
empresa compucentro ldta basado en la normativa ISO 27001: El estándar
de seguridad de la información así como de su anexo la ISO 27002.
2.2. OBJETIVOS ESPECIFICOS
2.2.1. Analizar la información detallada sobre los tipos de ataques que afectan la
seguridad informática y de la información y recolección de información
relacionada con la seguridad en la empresa compucentro ldta.
2.2.2. Diagnosticar el estado actual de la seguridad informática y de la
información en la empresa compucentro ltd tomando como base la norma
ISO 27001 y 27002 recomendaciones para la seguridad física y lógica de TI.
2.2.3. Diseñar un modelo de seguridad para la empresa compucentro ltda.
3. JUSTIFICACION
Actualmente existen gran variedad de documentos en los cuales podemos evaluar la
información los cuales son gestión de tecnologías de la información (itil cobit) , gestión de
riesgos (ntc-iso/iec 27005, bs 7799-3;2008) entre otros , cada uno de ellos brindan pautas
que permiten estructurar los requerimientos para una seguridad , pero el documento general
para verificar el funcionamiento de la seguridad en una empresa es la normativa ISO
27001: El estándar de seguridad de la información así como de su anexo la ISO 27002. La
seguridad es un factor fundamental a la hora de crear una organización la cual tiene un
activo el cual es el más importante ósea la información de la compañía .en la cual la
información que poseemos tiene que ser fiable y estar disponible para el administrador y a
partir de esto que el mismo administrador se encargue de roles de los usuarios y restringir a
donde puede acceder cada uno a que parte de la información pueda verificar cada tipo de
usuario por lo tanto cada empresa o sistema tiene la seguridad “generalizada” pero en
realidad ellos solo compran un modelo el cual tiene una seguridad (x) pero jamás la evalúan
ni se dan a la tarea de saber si sus empresas están seguras o como se puede llegar a tener
seguro sus sistemas el modelo de seguridad que se quiere desarrollar busca como primera
medida formar empresas seguras en cuanto a la seguridad informática y de la información
basadas en la normativa ISO 27001: El estándar de seguridad de la información así como
de su anexo la ISO 27002.
3.1. IMPORTANCIA DE LA INVESTIGACIÓN
3.2. LIMITACIONES Y ALCANCES.
3.2.1. La investigación será desarrollada tomando en cuenta la normativa ISO
27001: El estándar de seguridad de la información así como de su anexo la
ISO 27002 las cuales permiten implementar y mantener un SGSI “Sistema
de gestión de la seguridad de la información” y así lograr la certificación
correspondiente de la empresa u organización.
3.2.2. La investigación será desarrollada dentro de la empresa compucenter ltda.
En la cual se buscara comprobar cómo se encuentra su SGSI “Sistema de
gestión de la seguridad de la información” según la normativa ISO 27001:
El estándar de seguridad de la información así como de su anexo la ISO
27002 para así poder realizar un modelo de seguridad adecuado para la
empresa.
CAPITULO II. MARCO DE REFERENCIA
1. Marco de Antecedentes
Las investigaciones realizadas sobre la seguridad informática son una parte vital
para las entidades tanto públicas como privadas en estos tiempos en los que la
sociedad se mueve al ritmo de la tecnología específicamente el del internet, estas
investigaciones van desde auditorias, proyectos de grado y tesis, a continuación se
presentaran algunas de las investigaciones realizadas sobre seguridad informática
para darse una idea del punto a donde se quiere llegar con esta investigación.
1.1. Análisis de los ataques y generación de técnicas que permiten evitarlos
En el año 2006 surge un grupo en la universidad de FASTA, el cual busca
realizar un análisis de los intrusos de honeybots en convenio con el CITEDEF
1.2. Inseguridad informática: Un concepto dual en seguridad informática.
El artículo que presenta esta investigación va enfocada a que el lector diriga su
punto de vista hacia el lado del hacking y la toma de riesgos para fortalecer la
parte de seguridad informática de la entidad como así mismo la parte del
esquema que conforma esta seguridad informática1.
1.3. Análisis de la auditoria en seguridad informática
Proyecto para la obtención de título como magister en el área de seguridad
informática, el cual busca por medio de un estudio minucioso identificar y
conocer cada una de las características que poseen cada uno e los datos que se
quieren proteger por parte de la empresa2.
1.4. Iso 27001/27002- Seguridad informática y de la información
1 Jeimy J. Cano, https://revistaing.uniandes.edu.co/pdf/Rev19-4.pdf, 11/11/142 Javier Ricardo Bermeo Paucar , http://repositorio.unemi.edu.ec/bitstream/123456789/1251/3/Tesis%20Seguridad%20Informatica%20Dpto.pdf, 11/11/14
Iso 27001 es el estándar de seguridad de la información el cual propone una
metodología la cual busca amortiguar todos los tipos de ataques que pueden llegar a
existir en una empresa o de sus sistemas de TI lo que se busca con este estándar es
especificar los requisitos necesarios para establecer, implantar, mantener, y mejorar un
sistema de gestión de la seguridad de la información (SGSI) el cual nos va ayudar con
los objetivos de cualquier empresa en cuanto a la seguridad informática y de la
información en todos los aspectos que afectan la seguridad informática y de la
información de la empresa
1998 – BS 7799-2:1999: Revisión de la anterior norma. Establecía los requisitos
para implantar un Sistema de Gestión de Seguridad de la Información
certificable.
2002 – BS 7799-2:2002: Se publicó una nueva versión que permitió la
acreditación de empresas por una entidad certificadora en Reino Unido y en
otros países.
2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el estándar ISO 27001
como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO
27001:2005.
Como puede verse, la historia arriba contada es en realidad la historia mezclada de lo
que terminó convirtiéndose en dos cosas distintas que dieron origen a la familia ISO-
27000, ISO-27001 e ISO-27002. Esto queda más claro si se pone de manera gráfica3.
3 Héctor Acevedo Juárez, ISO-27001: ¿Qué es y para qué sirve?
Por otro lado Iso 27002 podemos decir que es una guía de buenas prácticas que
permiten a las organizaciones mejorar la seguridad de su información para llevar a cabo
estas buenas prácticas debemos tener en cuenta unos objetivos de control y gestión los
cuales se hallan en unos dominios los cuales abarcan de forma integral y general todos
los aspectos que debemos tener en cuenta en nuestra empresa. En este orden de ideas
podemos identificar las herramientas, normas, modelos, los cuales nos ayudaran a
reducir el riesgo de vulnerabilidad, ataques, y demás posibles aspectos que puedan
afectar la seguridad informática y de la información de la empresa.
2. Marco Teórico
Actualmente en las empresas el activo más importante es la información, teniendo esto en
cuenta debemos saber que estamos en la era de la información y los conocimientos, las
empresas u organizaciones buscan cuidar su activo más importante por lo tanto los
objetivos principales son el cuidado, seguridad y disponibilidad de la información, sin la
adecuada conservación de la información de una empresa, esta podrá verse afectada en
cuanto al ámbito competitivo se refiere y podrá quebrar en el mercado, también podemos
decir que entre más tecnologías en las empresas mayor será el riesgo de la información si
no tenemos estándares que reduzcan estas.
Para una apropiada gestión de la información es pertinente establecer una metodología
clara y estructurada, la cual con base en normas establecidas le permita a los stakeholders
de la empresa verificar la seguridad de la información que se maneja en esta.
2.1 NORMAS ISO
La International Organization for Standardization - ISO e International Electrotechnical
Commission – IEC, desarrollaron la familia de Normas ISO/IEC 27000, donde se
Proporcionan los lineamientos y metodologías para la gestión de la seguridad en la
información en cualquier empresa; para este trabajo nos enfocaremos en 2 de estas normas
que mencionamos a continuación.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información y es a
la cual se certifican por auditores externos los SGSI de las organizaciones. Este
estándar 10Internacional abarca todos los tipos de organizaciones, además
específica los requerimientos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un SGSI documentado dentro del contexto de los
riesgos comerciales generales de la organización. Específica los requerimientos para
la implementación de controles de seguridad personalizados para las necesidades de
las organizaciones
Individuales o partes de ella. EL SGSI está diseñado para asegurar la selección
adecuada y proporcionar controles de seguridad que protejan los activos de información
y den confianza a las partes interesadas.
ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información
basado en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las
iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de
Gestión de la Seguridad de la Información (conocido en inglés como el ISMS,
Information Security Management System)4.
a idea es preservar la CIA de la información estableciendo un sistema, formado por un
conjunto de procesos, gente y tecnología, que analice los riesgos de la información y
establezca medidas para eliminarlos o minimizarlos de manera recurrente mediante un
ciclo de mejora continua, manteniendo siempre el control de los riesgos para saber en
todo momento la postura de seguridad de la organización. Es precisamente este sistema
el que recibe el nombre de Sistema de Gestión de Seguridad de la Información, que es
el punto central de la norma pues básicamente nos exige que cada organización que
cumpla con ISO-27001 lleve a cabo cuatro grandes actividades:
Establecer el sistema.
Implementar y operar el sistema.
Mantener y mejorar el sistema.
Monitorear y revisar el sistema.
Historia de ISO-27001
El origen de ISO-27001 se puede rastrear hasta una publicación del Departamento de
Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido,
documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de
mejores prácticas para la administración de la seguridad de la información. Como su
nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía
4 Toro, M. 2011. Plan de seguridad de la información ISO 27002 Vs COBIT. Normas y Calidad. ICONTEC. Cuarta edición. P 26 – 28
certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue
evolucionando de la siguiente manera:
En 1998 se liberó la segunda parte, BS7799-2, que estableció la especificación para
implantar un sistema de gestión de seguridad de la información (SGSI).
En el año 2000, la Organización Internacional para la Estandarización (ISO,
Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la
convirtió en el estándar ISO17799/BS7799-1.
Por su parte en el Reino Unido, la BSI (British Standards Institution) publicó la norma
BS7799-2:2002, que prepara a las organizaciones para que reciban la acreditación de
seguridad a través de una auditoría realizada por una entidad certificadora. Fue bajo esta
norma que las empresas pioneras se certificaron, no sólo en el Reino Unido sino incluso
en otros países.En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002,
el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente
artículo. Ese mismo año hubo una ligera actualización de la ISO-17799.Finalmente, en
2007, la ISO-17799 se renombró para convertirse en ISO-27002:2005.
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad
de la información. No es certificable. La norma ISO 27001 contiene un anexo que
resume los controles de ISO 27002:2005 (Ver Anexo 2.). Esta norma es la mejor
práctica que da a los responsables los elementos necesarios para gestionar la
seguridad de la información, las pautas para estructurar el plan y los objetivos de
control, controles necesarios para implementar la seguridad y acciones
fundamentales para minimizar los riesgos que la vulneren.
2.2 SEGURIDAD DE LA INFORMACIÓN
Como habíamos dicho previamente la información es el valor más importante en las
organizaciones, podemos decir que también la información es el activo de los conjuntos de
datos y es lo más importante para el negocio de una empresa, y consecuente a esto es
necesario implementar una protección la cual debe reducir todas las amenazas sobre la
información.
Como resultado del crecimiento tecnológico y la globalización, la información ahora está
expuesta a un número cada vez mayor y una variedad más amplia de amenazas y
vulnerabilidades. La información puede existir en muchas formas: puede estar impresa o
escrita en un papel, almacenada en magnético, enviada por correo o utilizando medios
electrónicos, videos o grabaciones de voz. Sin importar la forma que tome la información, o
medio por el cual sea almacenada o compartida, siempre debe estar protegida.
La seguridad de la información es la protección de la información de un rango amplio de
amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las oportunidades comerciales.
Revisando en términos generales la información que se puede manejar en un laboratorio u
organización las amenazas se pueden clasificar en tres grupos:
• Externas: Intrusión a las redes de la organización o instalaciones físicas, por
ejemplo: spam, hackers, suplantación de identidad, fraude, espionaje,
sabotaje, robo de información, entre otras.
• Internas: Generadas al interior de la organización, principalmente por el
conocimiento de los colaboradores. Ejemplo: Alteración de la información,
divulgación de la información, fraudes, robo, sabotaje, uso no autorizados de
sistemas informáticos, uso de imagen corporativa sin autorización, etc.
• Naturales: son generadas por desastres naturales, como inundaciones,
huracanes, terremotos, incendios, etc.
Como lo resalta la ISO 27002:2005: La seguridad de la información se logra
implementando un adecuado conjunto de controles; incluyendo políticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y hardware. Se
necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea
necesario para asegurar que se cumplan los objetivos de seguridad y comerciales
específicos. Esto se debiera realizar en conjunción con otros procesos de gestión del
negocio5.
2.3 IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN.
Para un sistema de gestión de seguridad de la información es indispensable saber que
establecer, documentar, implementar y mantener son los cuatro puntos críticos de sistema
de gestión de seguridad el si contamos con este tendremos una gran ventaja sobre las que
no lo tienen o lo tienen incompleto. Flujo de caja, productividad, rentabilidad, estatus en el
mercado y cumplimiento legal; al asegurar que la información, los procesos, la imagen
corporativa y sistemas de apoyo son activos comerciales importantes.
La información de la empresa como habíamos dicho antes es uno de los activos más
importantes si no el más importante de esta estos enfrentan amenazas de seguridad entre
ellas podemos decir que se encuentran el fraude por internet, acceso abusivo a la
información de un computador, espionaje, sabotaje, hurto y algunas no menos importantes
pero que debemos tener en cuenta los cuales son los fenómenos naturales, fuego o
inundación, entre todas estas amenazas las que se están volviendo más comunes podemos
nombrar el código malicioso, spam o hackers estos últimos son los más efectivos a la hora
de atentar contra la información de nuestra empresa también podemos identificar que estos
pueden atacar de formas cada vez más sofisticadas llegando al punto que no podemos ni
detectar que estamos siendo afectados por estos. De acuerdo con esto, lo más importante en
todas las unidades de una empresa debemos decir que es la seguridad de la información, en
5 ISO 27001:2005 Tecnología de la Información – Técnicas de seguridad – Sistemas de seguridad de la información - Requerimientos.
el mercado existe una variedad de software diseñados para ser seguros, aunque continúan
presentándose amenazas y vulnerabilidades en la información, por esto es importante un
trabajo integrado con la gestión y procedimientos adecuados, el cual nos debe permitir
comprender qué controles son necesarios en cuanto a la seguridad física, lógica, externa de
una empresa para alcanzar esto es necesario de que con la planeación, verificación e
implementación del SGSI.
Según la norma ISO 27002 de 2005 es esencial que una organización identifique sus
requerimientos de seguridad. Existen tres fuentes principales de requerimientos de
seguridad:
Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la
estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se
identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de
ocurrencia y se calcula el impacto potencial.
Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que
tienen que satisfacer una organización, sus socios comerciales, contratistas y proveedores
de servicio, y su ambiente socio-cultural.
Otra fuente es el conjunto particular de principios, objetivos y requerimientos comerciales
para el procesamiento de la información que una organización ha desarrollado para sostener
sus operaciones.
Aplicando la norma IS0-27001
Se ha implemento un Sistema de administración de seguridad de la información de
conformidad con la norma ISO/IEC 27001
Personal profesional integrado por profesionales certificados en auditoría
informática y seguridad de la información, y un especialista en Planificación de
continuidad del negocio y Recuperación de desastres de dedicación exclusiva a
tiempo completo
Controles físicos y ambientales:
Seguridad mediante personal durante las 24 horas.
Acceso restringido a través de tarjetas de proximidad.
Equipo informático en áreas de acceso controlado.
Vigilancia con video en toda la instalación y el perímetro.
Control de humedad y temperatura.
Suelo elevado para facilitar la circulación continua de aire.
Alimentación eléctrica subterránea.
Sistemas de alimentación ininterrumpida (UPS).
Unidades de distribución de energía (PDU) redundantes.
Generadores diésel con almacenamiento de combustible diésel en el lugar.
Sensores de detección de humo e incendio en todos los centros de datos.
El Dublin Service Delivery Center (DSDC) está protegido con el sistema .Halon
y cuenta con reservas suficientes para varias descargas.
El Columbus Service Delivery Center (CSDC) está protegido con el sistema
contra incendios DuPont FM-200, los centros de datos también están protegidos
con sistemas de rociadores de tubería húmeda.
hay extinguidores de incendio en todas las instalaciones de DSDC y CSDC.
Controles de acceso lógico:
Identificación de usuario y administración de accesos
Conexiones a datos patrones a través de SSL 3.0/TLS 1.0 utilizando certificados
ascendentes globales emitidos por Thawte, que garantizan que nuestros usuarios
tengan una conexión segura desde sus navegadores a nuestro servicio.
Se identifican sesiones de usuario individuales que se vuelven a verificar con
cada transacción utilizando aserciones de seguridad encriptadas XML a través
de SAML 2.0.
En función de los servicios específicos que se utilizan
Controles de seguridad opcionales
Se conectan a Internet a través de distintos enlaces enrutados redundantes de varios
proveedores de servicio de Internet abastecidos desde múltiples puntos de presencia
de proveedores de telecomunicaciones.
Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los
protocolos no utilizados.
Servidores de seguridad internos que segregan el tráfico entre la aplicación y los
niveles de base de datos.
Equilibradores de carga que proporcionan servidores proxy para tráfico interno.
OCLC utiliza distintos métodos para evitar, detectar y erradicar malware.
También se llevan a cabo periódicamente evaluaciones de seguridad independientes
por parte de terceros.
Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos.
Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de
cinta seguro.
Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando
se vuelven obsoletas.
El personal de Seguridad de la información de OCLC controla las notificaciones de
distintas fuentes y las alertas del sistema interno para identificar y controlar
amenazas.
Desarrollo y mantenimiento de sistemas.
OCLC prueba la vulnerabilidad de la seguridad de todos los códigos antes de
emitirlos y escanea con regularidad nuestra red y los sistemas para detectar
vulnerabilidades.
Evaluaciones de vulnerabilidad de red.
Prueba de penetración seleccionadas y revisión de códigos.
Revisión y prueba de marco de control de seguridad.
Continuidad del negocio y recuperación de desastres.
El servicio de OCLC realiza una réplica del disco en tiempo real en cada centro de
datos y una réplica de datos casi en tiempo real entre el centro de producción de
datos y el sitio de recuperación de desastres.
Los datos confidenciales se transmiten a través de enlaces dedicados.
Las pruebas de recuperación de desastres verifican nuestros tiempos de
recuperación proyectados y la integridad de los datos del cliente.
Respuesta, notificación y corrección de incidentes.
Proceso de administración de incidentes para eventos de seguridad que pueden
afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos.
El Equipo de seguridad de la información está capacitado para realizar pruebas
forenses y manejar evidencias en preparación para un evento, incluido el uso de
herramientas de terceros y de propiedad exclusiva.
Cumplimiento
Los terceros pueden obtener información solamente a través de procesos legales
como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante
una exención jurídica o el consentimiento del usuario.
OCLC mantiene una política de privacidad sólida que ayuda a proteger los datos de
usuarios y clientes.
ISO-27002 Gestión de calidad
Esta norma proporciona recomendaciones de las mejores prácticas en la gestión de la
seguridad de la información a todos los interesados y responsables en iniciar, implantar o
mantener sistemas de gestión de la seguridad de la información6.
3. Marco Conceptual
La investigación que se está desarrollando se encuentra ubicada dentro del ámbito
de la seguridad informática y de la información, específicamente lo referente a la
normativa ISO 27001: El estándar de seguridad de la información así como de su
anexo la ISO 27002 las cuales se encargan de certificar a las empresas en
cuestiones de seguridad informática.
A lo largo de la investigación se usara una serie de conceptos básicos, que nos
permitirán cumplir con el objetivo de estudio propuesto inicialmente.
2.1. Definición de conceptos
2.1.1. Seguridad informática
La seguridad informática busca proteger los recursos informáticos que son valiosos
para la entidad o empresa a la que pertenecen, estos recursos abarcan tanto el
hardware como el software que componen a la entidad. Así mismo la seguridad
informática es vital para que la entidad llegue a cumplir con sus objetivos sobre
recursos financieros, sistemas y legales7.
6 POLITICAS DE OCLC, https://oclc.org/es-americalatina/policies/security.html
7 Actualidad TIC, http://www.iti.es/media/about/docs/tic/01/2003-07-seguridad.pdf, 11/11/14
2.2.2. Seguridad de la información
A diferencia de la seguridad informática la seguridad de la información es la rama
de la seguridad informática que se encarga de proteger solamente la información
digital relevante para la entidad a la que pertenece esta puede ser referente tanto al
funcionamiento interno de la entidad o referente a los clientes de la entidad8.
2.2.3. ISO 27001
“Esta norma ha sido elaborada para brindar un modelo para el establecimiento,
implementación, operación, seguimiento, revisión, mantenimiento y mejora de un
sistema de gestión de la seguridad de la información (SGSI).9”
2.2.4. ISO 27002
“Esta norma establece directrices y principios generales para iniciar, implementar,
mantener y mejorar la gestión de la seguridad de la información en una
organización. Los objetivos identificados en esta norma brindan una Guía general
8 Elvira Mifsud, http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=1, 11/11/149 Norma Tecnica Colombiana NTC-ISO/IEC 27001, http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf, 11/11/14
sobre las metas aceptadas comúnmente a la gestión de la seguridad de la
información10.”
2.2.5. SGSI
Un SGSI es la abreviatura de sistema de gestión de la seguridad de información11.
CAPITULO III DISEÑO METODOLOGICO
1. Desarrollo de la investigación
La investigación del presente proyecto se desarrollara en las instalaciones de la
empresa compucentro ltda. La cual es una empresa que se dedica a dar soluciones
en forma de software a los inconvenientes que presentan los usuarios referentes al
procesamiento de la información tanto privada como públicamente.
La investigación será de carácter cualitativo ya que esta se encargara de realizar un
estudio minucioso a la infraestructura referente a la parte de seguridad informática y
de la información de compucentro Ltda. Por medio de la recolección de datos de los
diferentes elementos que se encargan de llevar la seguridad dentro de la entidad,
todo esto basados en la normativa ISO 27001: El estándar de seguridad de la
información así como de su anexo la ISO 27002 las cuales se encargan de certificar
10 Norma Tecnica Colombiana NTC-ISO/IEC27002, ftp://190.85.77.114/Documentacion%20del%20SGI/DOCUMENTOS%20COMUNES/Documentos%20de%20Inter%E9s%20com%FAn/NORMAS%20SGI/ISO-IEC-27002.pdf, 11/11/1411 ISO 27000.es, http://www.iso27000.es/sgsi.html, 11/11/14
a las entidades en lo que a seguridad se refiere. La investigación a presentar al
presentar metodología cualitativa se basara principalmente en 3 aspectos, los cuales
son
1.1. Observación
La cual nos permitirá conocer tanto profunda mente como superficialmente el
comportamiento que presenta compucentro Ltda. En lo que se refiere a la
seguridad de la información, sin importar si esta información fuese referente al
manejo interno de la empresa o referente a la información de los usuarios.
1.2. Entrevistas
Este ítem nos permitirá centrarnos en el grupo de trabajo que compone a
compucentro Ltda. Lo cual nos permitirá darle un enfoque más práctico a la
investigación, lo que permitirá llegar a obtener resultados concretos que nos
permitan cumplir con los objetivos propuestos am inicio de la investigación.
1.3. Pruebas
Estas pruebas nos permitirán observar el nivel de seguridad que maneja
compucentro Ltda. Y al mismo tiempo nos permitirá reconocer las falencias
que posea la entidad referentes a la seguridad informática y de la información,
para asi dar un modelo de seguridad adecuado a la normativa ISO 27001: El
estándar de seguridad de la información así como de su anexo la ISO 27002.
Ya al tener definida la metodología de trabajo y tener claro el enfoque en el que
se quiere llevar la in investigación se procederá a dar inicio al trabajo de campo
el cual se desarrollara dentro de la empresa, para dar inicio al trabajo de campo,
como primer paso de la investigación en la empresa Compucentro ltda se
procede a realizar un inventario de los elementos que conforman las diferentes
dependencias de la empresa enfocándonos principalmente el área concerniente a
la seguridad informática y de la información que maneja la empresa.
A continuación se realizara un Inventario detallado de la empresa compucentro ltda.
La infraestructura de la empresa como tal está ubicada en la primer planta del
edificio que se encuentra en la dirección tal Calle 28 No. 11 – 22
Esta infraestructura está dividida en 4 áreas Departamento administrativo, Equipo
técnico, Departamento de Ventas y desarrollo de software y un área de recepción.
Los departamentos se encuentras divididos por cubículos por trabajador,
desarrollador, técnico etc.
En los departamentos administrativos se encuentran 10 cubículos los cuales cuentan
cada uno con un computador de escritorio y tres de ellos tienen impresora.
El departamento de seguridad es un anexo del departamento administrativo el cual
cuenta con un servidor.
Este servidor cuenta con restricción de acceso y registro de todos los accesos
El servidor es un servidor en torre el cual está compuesto por varias torres para
cumplir con la demanda.
El servidor se encuentra en un cuarto estratégicamente situado dentro de la empresa
2. DOCUMENTACION DE LA POLITICA DE SEGURIDAD
2.1 Política de seguridad de la información.
2.2. Definición del SGSI
COMPUCENTRO Ltda. Se encuentra dividida en 4 áreas principales las cuales son:
Área Administrativa
Área de Equipo Técnico
Área de Ventas
Área de Desarrollo de Software
El SGSI a desarrollar se centrara en el Área Administrativa ya que en esta área es
donde se encuentra el equipo de seguridad de la empresa, lo que nos brindara la
información necesaria para evaluar el estado actual de la empresa a nivel de seguridad
de seguridad informática.
2.2.1. Conceptos Generales
Disponibilidad
Confidencialidad
Integridad
Seguridad de la información
Sistemas de gestión de seguridad de la información
.