formato proyecto final

39
MODELO DE SEGURIDAD BASADO EN LA NORMATIVA 27001 Y 27002 PARA LA EMPRESA COMPUCENTRO Ltda. DIEGO FERNANDO BOTIA JIMENEZ MARIO REINEL SOSA URICOCHEA FUNDACION UNIVERSITARIA JUAN DE CASTELLANOS FACULTAD DE INGENIERIA PROYECTO DE GRADO

Upload: mario-reinel

Post on 08-Dec-2015

235 views

Category:

Documents


3 download

DESCRIPTION

Proyecto de grado basado en l aimplementacion de un Sistema de gestion de la seguridad de la informacion (SGSI), basado en la iso 27001/27002 Icontec, dirigida a una empresa de desarrollo de software.

TRANSCRIPT

MODELO DE SEGURIDAD BASADO EN LA NORMATIVA 27001 Y 27002 PARA LA

EMPRESA COMPUCENTRO Ltda.

DIEGO FERNANDO BOTIA JIMENEZ

MARIO REINEL SOSA URICOCHEA

FUNDACION UNIVERSITARIA JUAN DE CASTELLANOS

FACULTAD DE INGENIERIA

PROYECTO DE GRADO

TUNJA

2015

MODELO DE SEGURIDAD BASADO EN LA NORMATIVA 27001 Y 27002 PARA LA

EMPRESA COMPUCENTRO Ltda.

DIEGO FERNANDO BOTIA

MARIO REINEL SOSA URICOCHEA

Docente guia:

Helena Clara Isabel Aleman Novoa

FUNDACION UNIVERSITARIA JUAN DE CASTELLANOS

FACULTAD DE INGENIERIA

PROYECTO DE GRADO I

TUNJA

2015

CAPITULO I. INTRODUCCION

En los últimos años en los cuales se han dado a conocer una gran cantidad de problemas a

la hora de tener una seguridad informática y de la información las cuales tienen un papel

determinante en cada empresa en cual haya acceso a la web. La gran falencia que ha

tenido estos ítems se ha visto deteriorado ya que en el manejo de la web en una empresa en

la cual se puede contener una gran cantidad de información y muy importante por ejemplo

datos personales , contraseñas de algunos datos importantes etc., por falta de precaución y

de inexperiencia por parte de algunos usuarios en cuanto al manejo redes o de los s.o en la

empresa compucentro ltda se puede ver vulnerado por cualquier tipo de malware o ataques

cibernéticos por parte de personas ajenas a la empresa .

Lo que se busca con este proyecto de investigación es diagnosticar la seguridad

de una empresa por medio de algunas evaluaciones al sistema de seguridad teniendo en

cuenta como punto de partida, protocolos, métodos, reglas, herramientas, también

buscamos proteger lo que se comprende como tal entre software (BD, metadatos, archivos),

hardware y así poder reconocer las falencias que este mismo puede tener, la seguridad de la

información es un proceso que busca tener como prioridad la confidencialidad , integridad

y disponibilidad las cuales son las características básicas de la información teniendo en

cuenta que este es el activo más importante dentro de la empresa compucentro Ltda. .

Es por esto que se planteara un modelo de seguridad informática y de la información

basado en la normativa ISO 27001: El estándar de seguridad de la información asi como de

su anexo la ISO 27002, para la empresa compucentro Ltd. ubicada en la ciudad de Tunja, el

cual nos ayudara a informarnos de las maneras de cómo es atacada la información de

nuestros equipos, servidores y con lo cual dar a conocer soluciones para los problemas que

estos mismos presentan y así llegar a tener una seguridad informática y de la información

excelente en la empresa.

1. PROBLEMA DE INVESTIGACIÓN

1.1. PLANTEAMIENTO DEL PROBLEMA.

La seguridad informática y de la información generalmente se basan en la normativa

ISO 27001: El estándar de seguridad de la información así como de su anexo la ISO

27002l para entrar en un ambiente de seguridad que permita detener un posible ataque

antes de que éste suceda (pro actividad). Siempre se ha tenido problemas en cuanto a la

confiabilidad, integridad, disponibilidad, y a sus dominios, ya que se falla en algunos

métodos generales de protección entre los cuales se comprenden sistemas para detectar

intrusos , conexiones de red , sistemas de análisis de vulnerabilidades , sistemas de

integridad y privacidad de la información , ya que por medio de la red . cualquier

persona con conocimiento mucho más amplio que el nuestro puede llegar a vulnerar

cualquier empresa, puede acceder a nuestra información y robarla , como también

pueden espiarnos y usar información personal en nuestra contra , lo que se quiere con

este modelo es evaluar la seguridad de la empresa compucentro ltda.

tomando en cuenta las posibles vulnerabilidades que puede tener compucentro ltda se

hará un examen a profundidad basados en la normativa ISO 27001: El estándar de

seguridad de la información así como de su anexo la ISO 27002 para poder valorar esta

empresa y cualquier otra ,ya que algunas empresas no tienen el mínimo conocimiento

de cómo manejar la seguridad lo que se busca también con este modelo es que las

personas se nutran y empiecen a identificar que problemas y como afectan a la empresa

como también ir conociendo los problemas que aparecen día a día y los ataques a estas

redes y bases de datos

.

1.2. HIPOTESIS DE INVESTIGACIÓN.

¡Al hacer una evaluación a profundidad basada en la normativa ISO 27001: El estándar de

seguridad de la información así como de su anexo la ISO 27002, se podrán identificar y

corregir las falencias de seguridad de compucentro ltda.?

1.3. PREGUNTA DE INVESTIGACIÓN.

¿La empresa Compucentro ltda posee un sistema de seguridad basado en la normativa ISO

27001: El estándar de seguridad de la información así como de su anexo la ISO 27002?

2. OBJETIVOS

2.1. OBJETIVO GENERAL

2.1.1. Diseñar un modelo de seguridad informática y de la información para la

empresa compucentro ldta basado en la normativa ISO 27001: El estándar

de seguridad de la información así como de su anexo la ISO 27002.

2.2. OBJETIVOS ESPECIFICOS

2.2.1. Analizar la información detallada sobre los tipos de ataques que afectan la

seguridad informática y de la información y recolección de información

relacionada con la seguridad en la empresa compucentro ldta.

2.2.2. Diagnosticar el estado actual de la seguridad informática y de la

información en la empresa compucentro ltd tomando como base la norma

ISO 27001 y 27002 recomendaciones para la seguridad física y lógica de TI.

2.2.3. Diseñar un modelo de seguridad para la empresa compucentro ltda.

3. JUSTIFICACION

Actualmente existen gran variedad de documentos en los cuales podemos evaluar la

información los cuales son gestión de tecnologías de la información (itil cobit) , gestión de

riesgos (ntc-iso/iec 27005, bs 7799-3;2008) entre otros , cada uno de ellos brindan pautas

que permiten estructurar los requerimientos para una seguridad , pero el documento general

para verificar el funcionamiento de la seguridad en una empresa es la normativa ISO

27001: El estándar de seguridad de la información así como de su anexo la ISO 27002. La

seguridad es un factor fundamental a la hora de crear una organización la cual tiene un

activo el cual es el más importante ósea la información de la compañía .en la cual la

información que poseemos tiene que ser fiable y estar disponible para el administrador y a

partir de esto que el mismo administrador se encargue de roles de los usuarios y restringir a

donde puede acceder cada uno a que parte de la información pueda verificar cada tipo de

usuario por lo tanto cada empresa o sistema tiene la seguridad “generalizada” pero en

realidad ellos solo compran un modelo el cual tiene una seguridad (x) pero jamás la evalúan

ni se dan a la tarea de saber si sus empresas están seguras o como se puede llegar a tener

seguro sus sistemas el modelo de seguridad que se quiere desarrollar busca como primera

medida formar empresas seguras en cuanto a la seguridad informática y de la información

basadas en la normativa ISO 27001: El estándar de seguridad de la información así como

de su anexo la ISO 27002.

3.1. IMPORTANCIA DE LA INVESTIGACIÓN

3.2. LIMITACIONES Y ALCANCES.

3.2.1. La investigación será desarrollada tomando en cuenta la normativa ISO

27001: El estándar de seguridad de la información así como de su anexo la

ISO 27002 las cuales permiten implementar y mantener un SGSI “Sistema

de gestión de la seguridad de la información” y así lograr la certificación

correspondiente de la empresa u organización.

3.2.2. La investigación será desarrollada dentro de la empresa compucenter ltda.

En la cual se buscara comprobar cómo se encuentra su SGSI “Sistema de

gestión de la seguridad de la información” según la normativa ISO 27001:

El estándar de seguridad de la información así como de su anexo la ISO

27002 para así poder realizar un modelo de seguridad adecuado para la

empresa.

CAPITULO II. MARCO DE REFERENCIA

1. Marco de Antecedentes

Las investigaciones realizadas sobre la seguridad informática son una parte vital

para las entidades tanto públicas como privadas en estos tiempos en los que la

sociedad se mueve al ritmo de la tecnología específicamente el del internet, estas

investigaciones van desde auditorias, proyectos de grado y tesis, a continuación se

presentaran algunas de las investigaciones realizadas sobre seguridad informática

para darse una idea del punto a donde se quiere llegar con esta investigación.

1.1. Análisis de los ataques y generación de técnicas que permiten evitarlos

En el año 2006 surge un grupo en la universidad de FASTA, el cual busca

realizar un análisis de los intrusos de honeybots en convenio con el CITEDEF

1.2. Inseguridad informática: Un concepto dual en seguridad informática.

El artículo que presenta esta investigación va enfocada a que el lector diriga su

punto de vista hacia el lado del hacking y la toma de riesgos para fortalecer la

parte de seguridad informática de la entidad como así mismo la parte del

esquema que conforma esta seguridad informática1.

1.3. Análisis de la auditoria en seguridad informática

Proyecto para la obtención de título como magister en el área de seguridad

informática, el cual busca por medio de un estudio minucioso identificar y

conocer cada una de las características que poseen cada uno e los datos que se

quieren proteger por parte de la empresa2.

1.4. Iso 27001/27002- Seguridad informática y de la información

1 Jeimy J. Cano, https://revistaing.uniandes.edu.co/pdf/Rev19-4.pdf, 11/11/142 Javier Ricardo Bermeo Paucar , http://repositorio.unemi.edu.ec/bitstream/123456789/1251/3/Tesis%20Seguridad%20Informatica%20Dpto.pdf, 11/11/14

Iso 27001 es el estándar de seguridad de la información el cual propone una

metodología la cual busca amortiguar todos los tipos de ataques que pueden llegar a

existir en una empresa o de sus sistemas de TI lo que se busca con este estándar es

especificar los requisitos necesarios para establecer, implantar, mantener, y mejorar un

sistema de gestión de la seguridad de la información (SGSI) el cual nos va ayudar con

los objetivos de cualquier empresa en cuanto a la seguridad informática y de la

información en todos los aspectos que afectan la seguridad informática y de la

información de la empresa

1998 – BS 7799-2:1999: Revisión de la anterior norma. Establecía los requisitos

para implantar un Sistema de Gestión de Seguridad de la Información

certificable.

2002 – BS 7799-2:2002: Se publicó una nueva versión que permitió la

acreditación de empresas por una entidad certificadora en Reino Unido y en

otros países.

2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el estándar ISO 27001

como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO

27001:2005.

Como puede verse, la historia arriba contada es en realidad la historia mezclada de lo

que terminó convirtiéndose en dos cosas distintas que dieron origen a la familia ISO-

27000, ISO-27001 e ISO-27002. Esto queda más claro si se pone de manera gráfica3.

3 Héctor Acevedo Juárez, ISO-27001: ¿Qué es y para qué sirve?

Por otro lado Iso 27002 podemos decir que es una guía de buenas prácticas que

permiten a las organizaciones mejorar la seguridad de su información para llevar a cabo

estas buenas prácticas debemos tener en cuenta unos objetivos de control y gestión los

cuales se hallan en unos dominios los cuales abarcan de forma integral y general todos

los aspectos que debemos tener en cuenta en nuestra empresa. En este orden de ideas

podemos identificar las herramientas, normas, modelos, los cuales nos ayudaran a

reducir el riesgo de vulnerabilidad, ataques, y demás posibles aspectos que puedan

afectar la seguridad informática y de la información de la empresa.

2. Marco Teórico

Actualmente en las empresas el activo más importante es la información, teniendo esto en

cuenta debemos saber que estamos en la era de la información y los conocimientos, las

empresas u organizaciones buscan cuidar su activo más importante por lo tanto los

objetivos principales son el cuidado, seguridad y disponibilidad de la información, sin la

adecuada conservación de la información de una empresa, esta podrá verse afectada en

cuanto al ámbito competitivo se refiere y podrá quebrar en el mercado, también podemos

decir que entre más tecnologías en las empresas mayor será el riesgo de la información si

no tenemos estándares que reduzcan estas.

Para una apropiada gestión de la información es pertinente establecer una metodología

clara y estructurada, la cual con base en normas establecidas le permita a los stakeholders

de la empresa verificar la seguridad de la información que se maneja en esta.

2.1 NORMAS ISO

La International Organization for Standardization - ISO e International Electrotechnical

Commission – IEC, desarrollaron la familia de Normas ISO/IEC 27000, donde se

Proporcionan los lineamientos y metodologías para la gestión de la seguridad en la

información en cualquier empresa; para este trabajo nos enfocaremos en 2 de estas normas

que mencionamos a continuación.

ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y

contiene los requisitos del sistema de gestión de seguridad de la información y es a

la cual se certifican por auditores externos los SGSI de las organizaciones. Este

estándar 10Internacional abarca todos los tipos de organizaciones, además

específica los requerimientos para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar un SGSI documentado dentro del contexto de los

riesgos comerciales generales de la organización. Específica los requerimientos para

la implementación de controles de seguridad personalizados para las necesidades de

las organizaciones

Individuales o partes de ella. EL SGSI está diseñado para asegurar la selección

adecuada y proporcionar controles de seguridad que protejan los activos de información

y den confianza a las partes interesadas.

ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información

basado en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las

iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de

Gestión de la Seguridad de la Información (conocido en inglés como el ISMS,

Information Security Management System)4.

a idea es preservar la CIA de la información estableciendo un sistema, formado por un

conjunto de procesos, gente y tecnología, que analice los riesgos de la información y

establezca medidas para eliminarlos o minimizarlos de manera recurrente mediante un

ciclo de mejora continua, manteniendo siempre el control de los riesgos para saber en

todo momento la postura de seguridad de la organización. Es precisamente este sistema

el que recibe el nombre de Sistema de Gestión de Seguridad de la Información, que es

el punto central de la norma pues básicamente nos exige que cada organización que

cumpla con ISO-27001 lleve a cabo cuatro grandes actividades:

Establecer el sistema.

Implementar y operar el sistema.

Mantener y mejorar el sistema.

Monitorear y revisar el sistema.

Historia de ISO-27001

El origen de ISO-27001 se puede rastrear hasta una publicación del Departamento de

Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido,

documento que dio origen en 1995 a la norma BS7799-1, que establecía un código de

mejores prácticas para la administración de la seguridad de la información. Como su

nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no definía

4 Toro, M. 2011. Plan de seguridad de la información ISO 27002 Vs COBIT. Normas y Calidad. ICONTEC. Cuarta edición. P 26 – 28

certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue

evolucionando de la siguiente manera:

En 1998 se liberó la segunda parte, BS7799-2, que estableció la especificación para

implantar un sistema de gestión de seguridad de la información (SGSI).

En el año 2000, la Organización Internacional para la Estandarización (ISO,

Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la

convirtió en el estándar ISO17799/BS7799-1.

Por su parte en el Reino Unido, la BSI (British Standards Institution) publicó la norma

BS7799-2:2002, que prepara a las organizaciones para que reciban la acreditación de

seguridad a través de una auditoría realizada por una entidad certificadora. Fue bajo esta

norma que las empresas pioneras se certificaron, no sólo en el Reino Unido sino incluso

en otros países.En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002,

el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente

artículo. Ese mismo año hubo una ligera actualización de la ISO-17799.Finalmente, en

2007, la ISO-17799 se renombró para convertirse en ISO-27002:2005.

ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,

manteniendo 2005 como año de edición. Es una guía de buenas prácticas que

describe los objetivos de control y controles recomendables en cuanto a seguridad

de la información. No es certificable. La norma ISO 27001 contiene un anexo que

resume los controles de ISO 27002:2005 (Ver Anexo 2.). Esta norma es la mejor

práctica que da a los responsables los elementos necesarios para gestionar la

seguridad de la información, las pautas para estructurar el plan y los objetivos de

control, controles necesarios para implementar la seguridad y acciones

fundamentales para minimizar los riesgos que la vulneren.

2.2 SEGURIDAD DE LA INFORMACIÓN

Como habíamos dicho previamente la información es el valor más importante en las

organizaciones, podemos decir que también la información es el activo de los conjuntos de

datos y es lo más importante para el negocio de una empresa, y consecuente a esto es

necesario implementar una protección la cual debe reducir todas las amenazas sobre la

información.

Como resultado del crecimiento tecnológico y la globalización, la información ahora está

expuesta a un número cada vez mayor y una variedad más amplia de amenazas y

vulnerabilidades. La información puede existir en muchas formas: puede estar impresa o

escrita en un papel, almacenada en magnético, enviada por correo o utilizando medios

electrónicos, videos o grabaciones de voz. Sin importar la forma que tome la información, o

medio por el cual sea almacenada o compartida, siempre debe estar protegida.

La seguridad de la información es la protección de la información de un rango amplio de

amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y

maximizar el retorno de las inversiones y las oportunidades comerciales.

Revisando en términos generales la información que se puede manejar en un laboratorio u

organización las amenazas se pueden clasificar en tres grupos:

• Externas: Intrusión a las redes de la organización o instalaciones físicas, por

ejemplo: spam, hackers, suplantación de identidad, fraude, espionaje,

sabotaje, robo de información, entre otras.

• Internas: Generadas al interior de la organización, principalmente por el

conocimiento de los colaboradores. Ejemplo: Alteración de la información,

divulgación de la información, fraudes, robo, sabotaje, uso no autorizados de

sistemas informáticos, uso de imagen corporativa sin autorización, etc.

• Naturales: son generadas por desastres naturales, como inundaciones,

huracanes, terremotos, incendios, etc.

Como lo resalta la ISO 27002:2005: La seguridad de la información se logra

implementando un adecuado conjunto de controles; incluyendo políticas, procesos,

procedimientos, estructuras organizacionales y funciones de software y hardware. Se

necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea

necesario para asegurar que se cumplan los objetivos de seguridad y comerciales

específicos. Esto se debiera realizar en conjunción con otros procesos de gestión del

negocio5.

2.3 IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN.

Para un sistema de gestión de seguridad de la información es indispensable saber que

establecer, documentar, implementar y mantener son los cuatro puntos críticos de sistema

de gestión de seguridad el si contamos con este tendremos una gran ventaja sobre las que

no lo tienen o lo tienen incompleto. Flujo de caja, productividad, rentabilidad, estatus en el

mercado y cumplimiento legal; al asegurar que la información, los procesos, la imagen

corporativa y sistemas de apoyo son activos comerciales importantes.

La información de la empresa como habíamos dicho antes es uno de los activos más

importantes si no el más importante de esta estos enfrentan amenazas de seguridad entre

ellas podemos decir que se encuentran el fraude por internet, acceso abusivo a la

información de un computador, espionaje, sabotaje, hurto y algunas no menos importantes

pero que debemos tener en cuenta los cuales son los fenómenos naturales, fuego o

inundación, entre todas estas amenazas las que se están volviendo más comunes podemos

nombrar el código malicioso, spam o hackers estos últimos son los más efectivos a la hora

de atentar contra la información de nuestra empresa también podemos identificar que estos

pueden atacar de formas cada vez más sofisticadas llegando al punto que no podemos ni

detectar que estamos siendo afectados por estos. De acuerdo con esto, lo más importante en

todas las unidades de una empresa debemos decir que es la seguridad de la información, en

5 ISO 27001:2005 Tecnología de la Información – Técnicas de seguridad – Sistemas de seguridad de la información - Requerimientos.

el mercado existe una variedad de software diseñados para ser seguros, aunque continúan

presentándose amenazas y vulnerabilidades en la información, por esto es importante un

trabajo integrado con la gestión y procedimientos adecuados, el cual nos debe permitir

comprender qué controles son necesarios en cuanto a la seguridad física, lógica, externa de

una empresa para alcanzar esto es necesario de que con la planeación, verificación e

implementación del SGSI.

Según la norma ISO 27002 de 2005 es esencial que una organización identifique sus

requerimientos de seguridad. Existen tres fuentes principales de requerimientos de

seguridad:

Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la

estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se

identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de

ocurrencia y se calcula el impacto potencial.

Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que

tienen que satisfacer una organización, sus socios comerciales, contratistas y proveedores

de servicio, y su ambiente socio-cultural.

Otra fuente es el conjunto particular de principios, objetivos y requerimientos comerciales

para el procesamiento de la información que una organización ha desarrollado para sostener

sus operaciones.

Aplicando la norma IS0-27001

Se ha implemento un Sistema de administración de seguridad de la información de

conformidad con la norma ISO/IEC 27001

Personal profesional integrado por profesionales certificados en auditoría

informática y seguridad de la información, y un especialista en Planificación de

continuidad del negocio y Recuperación de desastres de dedicación exclusiva a

tiempo completo

Controles físicos y ambientales:

Seguridad mediante personal durante las 24 horas.

Acceso restringido a través de tarjetas de proximidad.

Equipo informático en áreas de acceso controlado.

Vigilancia con video en toda la instalación y el perímetro.

Control de humedad y temperatura.

Suelo elevado para facilitar la circulación continua de aire.

Alimentación eléctrica subterránea.

Sistemas de alimentación ininterrumpida (UPS).

Unidades de distribución de energía (PDU) redundantes.

Generadores diésel con almacenamiento de combustible diésel en el lugar.

Sensores de detección de humo e incendio en todos los centros de datos.

El Dublin Service Delivery Center (DSDC) está protegido con el sistema .Halon

y cuenta con reservas suficientes para varias descargas.

El Columbus Service Delivery Center (CSDC) está protegido con el sistema

contra incendios DuPont FM-200, los centros de datos también están protegidos

con sistemas de rociadores de tubería húmeda.

hay extinguidores de incendio en todas las instalaciones de DSDC y CSDC.

Controles de acceso lógico:

Identificación de usuario y administración de accesos

Conexiones a datos patrones a través de SSL 3.0/TLS 1.0 utilizando certificados

ascendentes globales emitidos por Thawte, que garantizan que nuestros usuarios

tengan una conexión segura desde sus navegadores a nuestro servicio.

Se identifican sesiones de usuario individuales que se vuelven a verificar con

cada transacción utilizando aserciones de seguridad encriptadas XML a través

de SAML 2.0.

En función de los servicios específicos que se utilizan

Controles de seguridad opcionales

Se conectan a Internet a través de distintos enlaces enrutados redundantes de varios

proveedores de servicio de Internet abastecidos desde múltiples puntos de presencia

de proveedores de telecomunicaciones.

Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los

protocolos no utilizados.

Servidores de seguridad internos que segregan el tráfico entre la aplicación y los

niveles de base de datos.

Equilibradores de carga que proporcionan servidores proxy para tráfico interno.

OCLC utiliza distintos métodos para evitar, detectar y erradicar malware.

También se llevan a cabo periódicamente evaluaciones de seguridad independientes

por parte de terceros.

Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos.

Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de

cinta seguro.

Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando

se vuelven obsoletas.

El personal de Seguridad de la información de OCLC controla las notificaciones de

distintas fuentes y las alertas del sistema interno para identificar y controlar

amenazas.

Desarrollo y mantenimiento de sistemas.

OCLC prueba la vulnerabilidad de la seguridad de todos los códigos antes de

emitirlos y escanea con regularidad nuestra red y los sistemas para detectar

vulnerabilidades.

Evaluaciones de vulnerabilidad de red.

Prueba de penetración seleccionadas y revisión de códigos.

Revisión y prueba de marco de control de seguridad.

Continuidad del negocio y recuperación de desastres.

El servicio de OCLC realiza una réplica del disco en tiempo real en cada centro de

datos y una réplica de datos casi en tiempo real entre el centro de producción de

datos y el sitio de recuperación de desastres.

Los datos confidenciales se transmiten a través de enlaces dedicados.

Las pruebas de recuperación de desastres verifican nuestros tiempos de

recuperación proyectados y la integridad de los datos del cliente.

Respuesta, notificación y corrección de incidentes.

Proceso de administración de incidentes para eventos de seguridad que pueden

afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos.

El Equipo de seguridad de la información está capacitado para realizar pruebas

forenses y manejar evidencias en preparación para un evento, incluido el uso de

herramientas de terceros y de propiedad exclusiva.

Cumplimiento

Los terceros pueden obtener información solamente a través de procesos legales

como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante

una exención jurídica o el consentimiento del usuario.

OCLC mantiene una política de privacidad sólida que ayuda a proteger los datos de

usuarios y clientes.

ISO-27002 Gestión de calidad

Esta norma proporciona recomendaciones de las mejores prácticas en la gestión de la

seguridad de la información a todos los interesados y responsables en iniciar, implantar o

mantener sistemas de gestión de la seguridad de la información6.

3. Marco Conceptual

La investigación que se está desarrollando se encuentra ubicada dentro del ámbito

de la seguridad informática y de la información, específicamente lo referente a la

normativa ISO 27001: El estándar de seguridad de la información así como de su

anexo la ISO 27002 las cuales se encargan de certificar a las empresas en

cuestiones de seguridad informática.

A lo largo de la investigación se usara una serie de conceptos básicos, que nos

permitirán cumplir con el objetivo de estudio propuesto inicialmente.

2.1. Definición de conceptos

2.1.1. Seguridad informática

La seguridad informática busca proteger los recursos informáticos que son valiosos

para la entidad o empresa a la que pertenecen, estos recursos abarcan tanto el

hardware como el software que componen a la entidad. Así mismo la seguridad

informática es vital para que la entidad llegue a cumplir con sus objetivos sobre

recursos financieros, sistemas y legales7.

6 POLITICAS DE OCLC, https://oclc.org/es-americalatina/policies/security.html

7 Actualidad TIC, http://www.iti.es/media/about/docs/tic/01/2003-07-seguridad.pdf, 11/11/14

2.2.2. Seguridad de la información

A diferencia de la seguridad informática la seguridad de la información es la rama

de la seguridad informática que se encarga de proteger solamente la información

digital relevante para la entidad a la que pertenece esta puede ser referente tanto al

funcionamiento interno de la entidad o referente a los clientes de la entidad8.

2.2.3. ISO 27001

“Esta norma ha sido elaborada para brindar un modelo para el establecimiento,

implementación, operación, seguimiento, revisión, mantenimiento y mejora de un

sistema de gestión de la seguridad de la información (SGSI).9”

2.2.4. ISO 27002

“Esta norma establece directrices y principios generales para iniciar, implementar,

mantener y mejorar la gestión de la seguridad de la información en una

organización. Los objetivos identificados en esta norma brindan una Guía general

8 Elvira Mifsud, http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=1, 11/11/149 Norma Tecnica Colombiana NTC-ISO/IEC 27001, http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf, 11/11/14

sobre las metas aceptadas comúnmente a la gestión de la seguridad de la

información10.”

2.2.5. SGSI

Un SGSI es la abreviatura de sistema de gestión de la seguridad de información11.

CAPITULO III DISEÑO METODOLOGICO

1. Desarrollo de la investigación

La investigación del presente proyecto se desarrollara en las instalaciones de la

empresa compucentro ltda. La cual es una empresa que se dedica a dar soluciones

en forma de software a los inconvenientes que presentan los usuarios referentes al

procesamiento de la información tanto privada como públicamente.

La investigación será de carácter cualitativo ya que esta se encargara de realizar un

estudio minucioso a la infraestructura referente a la parte de seguridad informática y

de la información de compucentro Ltda. Por medio de la recolección de datos de los

diferentes elementos que se encargan de llevar la seguridad dentro de la entidad,

todo esto basados en la normativa ISO 27001: El estándar de seguridad de la

información así como de su anexo la ISO 27002 las cuales se encargan de certificar

10 Norma Tecnica Colombiana NTC-ISO/IEC27002, ftp://190.85.77.114/Documentacion%20del%20SGI/DOCUMENTOS%20COMUNES/Documentos%20de%20Inter%E9s%20com%FAn/NORMAS%20SGI/ISO-IEC-27002.pdf, 11/11/1411 ISO 27000.es, http://www.iso27000.es/sgsi.html, 11/11/14

a las entidades en lo que a seguridad se refiere. La investigación a presentar al

presentar metodología cualitativa se basara principalmente en 3 aspectos, los cuales

son

1.1. Observación

La cual nos permitirá conocer tanto profunda mente como superficialmente el

comportamiento que presenta compucentro Ltda. En lo que se refiere a la

seguridad de la información, sin importar si esta información fuese referente al

manejo interno de la empresa o referente a la información de los usuarios.

1.2. Entrevistas

Este ítem nos permitirá centrarnos en el grupo de trabajo que compone a

compucentro Ltda. Lo cual nos permitirá darle un enfoque más práctico a la

investigación, lo que permitirá llegar a obtener resultados concretos que nos

permitan cumplir con los objetivos propuestos am inicio de la investigación.

1.3. Pruebas

Estas pruebas nos permitirán observar el nivel de seguridad que maneja

compucentro Ltda. Y al mismo tiempo nos permitirá reconocer las falencias

que posea la entidad referentes a la seguridad informática y de la información,

para asi dar un modelo de seguridad adecuado a la normativa ISO 27001: El

estándar de seguridad de la información así como de su anexo la ISO 27002.

Ya al tener definida la metodología de trabajo y tener claro el enfoque en el que

se quiere llevar la in investigación se procederá a dar inicio al trabajo de campo

el cual se desarrollara dentro de la empresa, para dar inicio al trabajo de campo,

como primer paso de la investigación en la empresa Compucentro ltda se

procede a realizar un inventario de los elementos que conforman las diferentes

dependencias de la empresa enfocándonos principalmente el área concerniente a

la seguridad informática y de la información que maneja la empresa.

A continuación se realizara un Inventario detallado de la empresa compucentro ltda.

La infraestructura de la empresa como tal está ubicada en la primer planta del

edificio que se encuentra en la dirección tal Calle 28 No. 11 – 22

Esta infraestructura está dividida en 4 áreas Departamento administrativo, Equipo

técnico, Departamento de Ventas y desarrollo de software y un área de recepción.

Los departamentos se encuentras divididos por cubículos por trabajador,

desarrollador, técnico etc.

En los departamentos administrativos se encuentran 10 cubículos los cuales cuentan

cada uno con un computador de escritorio y tres de ellos tienen impresora.

El departamento de seguridad es un anexo del departamento administrativo el cual

cuenta con un servidor.

Este servidor cuenta con restricción de acceso y registro de todos los accesos

El servidor es un servidor en torre el cual está compuesto por varias torres para

cumplir con la demanda.

El servidor se encuentra en un cuarto estratégicamente situado dentro de la empresa

2. DOCUMENTACION DE LA POLITICA DE SEGURIDAD

2.1 Política de seguridad de la información.

2.2. Definición del SGSI

COMPUCENTRO Ltda. Se encuentra dividida en 4 áreas principales las cuales son:

Área Administrativa

Área de Equipo Técnico

Área de Ventas

Área de Desarrollo de Software

El SGSI a desarrollar se centrara en el Área Administrativa ya que en esta área es

donde se encuentra el equipo de seguridad de la empresa, lo que nos brindara la

información necesaria para evaluar el estado actual de la empresa a nivel de seguridad

de seguridad informática.

2.2.1. Conceptos Generales

Disponibilidad

Confidencialidad

Integridad

Seguridad de la información

Sistemas de gestión de seguridad de la información

.