proyecto grado jaime henao avances

8/18/2019 Proyecto Grado Jaime Henao Avances

1/53

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICABASADO EN LA NORMA ISO/IEC 27001 PARA LA EMPRESA USOMET LTDA

EN LA CIUDAD DE IBAGUÉ

JAIME HERNANDO HENAO RODRÍGUEZ

UNIERSIDAD NACIONAL ABIERTA ! A DISTANCIA " UNADFACULTA DE INGENIERÍA

CEAD JAGBOGOTÁ D#C#

201$


2/53

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICABASADO EN LA NORMA ISO/IEC 27001 PARA LA EMPRESA USOMET LTDA

EN LA CIUDAD DE IBAGUÉ

JAIME HERNANDO HENAO RODRÍGUEZ

PRO!ECTO DE GRADOPARA OPTAR AL TÍTULO DE ESPECIALISTA EN SEGURIDAD INFORMÁTICA

M%# SALOMÓN GONZÁLEZ GARCÍAA&'&()

UNIERSIDAD NACIONAL ABIERTA ! A DISTANCIA " UNADFACULTA DE INGENIERÍA

CEAD JAGBOGOTÁ D#C#

201$


3/53

Nota de Aceptación:

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

Firma del Presidente delJurado

______________________________________

Firma del Jurado

_____________________________________

Firma del Jurado

Bogotá, 20 de Marzo de 201


4/53

CONTENIDO

INTRODUCCIÓN 3

TÍTULO DEL PROYECTO 4

1. PLANTEAMIENTO DEL PROBLEMA 5

1.1. DESCRIPCIÓN DEL PROBLEMA 5

1.2. FORMULACIÓN DEL PROBLEMA 6

2. JUSTIFICACIÓN DEL PROYECTO 7

3. OBJETIVOS

3.1. OBJETIVO !ENERAL

3.2. OBJETIVOS ESPECÍFICOS

4. CONDICIÓN INICIAL 1"

5. CONDICIÓN FINAL 11

6. ALCANCE Y DELIMITACIÓN DEL PROYECTO 12

7. MARCO DE REFERENCIA 13

7.1. MARCO CONTE#TUAL 137.2. MARCO TEÓRICO 15

7.3. METODOLO!ÍA DE AN$LISIS Y !ESTIÓN DEL RIES!O EN SE!URIDADINFORM$TICA 2"

7.3.1. N%&'. 2"

7.4. MARCO CONCEPTUAL 24

7.5. MARCO LE!AL 27

(. METODOLO!ÍA DE INVESTI!ACIÓN 3"

(.1. $REA DEL CONOCIMIENTO) !*&'%+, -* / S*0%-/- I,'%/. 3"

(.2. $REA DE CONOCIMIENTO ESPECÍFICO DEL PROYECTO) S!SI 8/&/- *,ISO27""" * ISO27""1. 3"


5/53

(.3. TIPO DE INVESTI!ACIÓN 3"

. DISE9O METODOLÓ!ICO 31

.1. T:CNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN 31

.2. UNIVERSO Y MUESTRA 33

.3. METODOLO!ÍA DE DESARROLLO 33

.4. PRODUCTO A ENTRE!AR 34

1". ADMINISTRACIÓN DEL PROYECTO 35

1".1. RECURSO ;UMANO 35

1".2. RECURSOS MATERIALES) 35

11. PRESUPUESTO 36

11.1. CRONO!RAMA DE ACTIVIDADES 36

12. DESARROLLO DEL PROYECTO 3(

12.1. IDENTIFICACIÓN DE ACTIVOS. 3(

12.2. RECONOCIMIENTO DEL PERSONAL DE LA EMPRESA 3

12.3. VALORACIÓN DE ACTIVOS 3

13. DIA!NÓSTICO 43

14. DIVUL!ACIÓN 44

15. REFERENCIAS BIBLIO!R$FICAS 45

ENLACES


6/53

LISTA DE TABLAS

!a"la 1# $omparati%o entre Magerit & Nist '00()0##################################################22

!a"la 2# *aloración de acti%os#################################################################################)1

!a"la )# Presupuesto###############################################################################################)

!a"la +# $ronograma de acti%idades#######################################################################)

!a"la -# Acti%os in.ormáticos /M! 3tda###########################################################)'

!a"la # Personal de la empresa /M! 3tda####################################################)4

!a"la # Matriz %aluación de 5iesgos####################################################################)4

!a"la '# Ni%eles de %aloración de acti%os in.ormáticos###########################################+0

!a"la 4# *aloración de acti%os#################################################################################+0


7/53

LISTA DE ILUSTRACIONES

6lustración 1# rganigrama /M! 3tda##############################################################1-


8/53

INTRODUCCIÓN

3a seguridad en las tecnolog7as de la in.ormación & comunicaciones 8!6$s9, se

ace tan indispensa"le como su .uncionalidad misma# Preser%ar la disponi"ilidad,integridad & con.idencialidad, de sus datos & operaciones, es un reto ;ue se acecada d7a más comple


9/53

TÍTULO DEL PRO!ECTO

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICABASADO EN LA NORMA ISO/IEC 27001 PARA LA EMPRESA USOMET LTDADE LA CIUDAD DE IBAGUÉ

4


10/53

1# PLANTEAMIENTO DEL PROBLEMA

1#1#DESCRIPCIÓN DEL PROBLEMA

/M! 3tda es una empresa dedicada a los ser%icios de salud, u"icada en laciudad de 6"agu=# 6nició sus acti%idades en Marzo de 1440 & respondiendo a loslineamientos esta"lecidos por la 5esolución 0101 de 14'4, .ue atendiendo lasnecesidades en materia de salud ocupacional de las di.erentes empresas ;ue seencontra"an en la necesidad de esta clase de ser%icios#

Actualmente, /M! 3tda está dedicada a la gestión en salud ocupacional paraempresa de todos los sectores económicos del departamento del !olima# Parte desu la"or es la de lle%ar el registro de la in.ormación de las A53 contratantes, lasempresas ;ue la A53 le asigna, los empleados %inculados o a ser %inculados por

esas empresas, los resultados de los estudios & capacitación de salud ocupacional;ue en ellas se gestionan & los resultados de las e%aluaciones m=dicas & dela"oratorio de los empleados#

s por ello, ;ue la empresa mane


11/53

3a in.ormación de una empresa de"e ser considerada de carácter con.idencial,con.ia"le & siempre disponi"le#

1#2# FORMULACIÓN DEL PROBLEMA@$ómo el diseo del 6 "asado en la norma 6C6$ 2001 contri"uirá ameAD

6


12/53

2# JUSTIFICACIÓN DEL PRO!ECTO

3as grandes empresas an entendido ;ue los sistemas de gestión 6 son la

manera mee tal manera, ;ue todos los acti%osre;uieren ser claramente relacionados, identi.icados de acuerdo a sus amenazas &%ulnera"ilidades & estos de"en ser asegurados mediante el esta"lecimiento de

pol7ticas, procedimientos & planes, necesarios para protegerlos# Al %erse %ulnerada la in.ormación por di%ersas situaciones de tipo la"oral,organizacional o de cual;uier 7ndole es necesario me


13/53

ste m=todo se usa como en.o;ue para la me


14/53

*# OBJETIOS

*#1#OBJETIO GENERAL

Facilitar la administración de la seguridad in.ormática & de la in.ormación medianteel diseo de un manual de pol7ticas & procedimiento ;ue apo&en el 6 "asadoen la norma 6C6$ 2001 aumentando la competiti%idad de la empresa/M! 3!>A

*#2#OBJETIOS ESPECÍFICOS

>iagnosticar las condiciones actuales de la empresa /M! 3tda, en lorelacionado en materia de in.ormación & seguridad in.ormática, identi.icando sus

acti%os in.ormáticos, mediante instrumentos de recolección de in.ormación#$aracterizar los procesos & procedimientos de mane


15/53

+# CONDICIÓN INICIAL

A la .eca /M! 3tda, no cuenta con un diagnostico ;ue le permita reconocer

su situación en materia de in.ormación & seguridad in.ormática, ;ue identi.i;ue susacti%os in.ormáticos#

Aun;ue en /M! e?isten procesos & procedimientos de mane


16/53

,# CONDICIÓN FINAL

/M! 3tda cuenta con:

/n diagnostico ;ue le permite reconocer su situación en materia de in.ormación &seguridad in.ormática e identi.ica sus acti%os in.ormáticos#

/na documentación ;ue identi.ica los procesos & procedimientos de mane


17/53

$# ALCANCE ! DELIMITACIÓN DEL PRO!ECTO

la"orar un manual de pol7ticas & procedimientos a aplicar con.orme el estudiorealizado "ase para el 6 & ;ue cu"rirá los acti%os in.ormáticos, sistemas dein.ormación, usuarios, procesos & ser%icios ;ue se o.ertan a tra%=s de tecnolog7asde in.ormación#

l pro&ecto se aplicará puntualmente so"re el área in.ormática de la empresa/somet 3tda con u"icación en la ciudad de 6"agu=, !olima# 3a gestión se lle%ará aca"o durante el segundo semestre de 201-, con una duración de 1- semanas#

12


18/53

7# MARCO DE REFERENCIA

Para apro?imar esta in%estigación so"re cómo me9, titulado: G>iseo de un sistema de gestión de laseguridad in.ormática 6, para empresas del área te?til en las ciudadesde 6tagH7, Medell7n & Bogotá >#$# a tra%=s de la auditor7a#I, como re;uisitopara optar al t7tulo de specialista en eguridad in.ormática por parte del6ng# Ale?ander uzmán arc7a2#

sta in%estigación trata so"re el diseo de un 6 para meistancia 8/NA>9, titulado: GEstudio de los Procesos de Seguridad de laInformación Digital en las Empresas del Departamento de isaralda.I, comore;uisito para optar al t7tulo de specialista en eguridad in.ormática por

parte del ingeniero: scar Andr=s ierra Jaramillo)

#

sta in%estigación detalla acerca el estudio de la aplicación de las normas2001 de seguridad de la in.ormación en empresas de 5isaralda, realizandoencuestas para %eri.icar la aplicación de las pol7ticas de las normas 62001 & la 6 2002, realizando el análisis de los resultados esta"leciendolos ni%eles de seguridad en uso, para .inalmente proponer los modelos deseguridad aplica"les a las empresas e%aluadas#

7#1#MARCO CONTE-TUAL

2 A# # arc7a, KDise!o de un sistema de gestión de la seguridad informática SSI, para empresasdel área te#til en las ciudades de Itag$%, &edell%n ' (ogotá D.). a trav*s de la auditor%a". Ln l7nea#

A%aila"le: repositorunad#edu#coC"itstreamC10-4C)++'C1C10)0-+'241#pd.#3 # A# # Jaramillo, Kstudio de los procesos de seguridad de la in.ormación,K 200'# Ln l7nea#

A%aila"le: ttp:CCrepositorio#utp#edu#coCdspaceC"itstreamC110-4C2)0C1C00-'-2#pd.#

13


19/53

3a empresa /somet 3tda#, inició sus acti%idades en marzo de 1440, con tressocios .undadores, las instalaciones se u"icaron en la carrera - con calle +0,inicialmente, se %inculó un m=dico & un ingeniero industrial, ;uienesposteriormente icieron la especialización en salud ocupacional#

5espondiendo a los lineamientos estipulados por la 5esolución 0101 de 14'4, laempresa /somet .ue atendiendo las necesidades en materia de salud ocupacionalde las di.erentes empresas, ;uienes i"an tomando consciencia de este ser%icio#

3uego del primer ao, /somet atend7a dos empresas, en acti%idades centradas enla seguridad industrial & medicina del tra"a


20/53

6lustración 1# rganigrama /M! 3tda

Fuente: /M! 3tda

l recurso in.ormático de ;ue dispone /somet 3tda, consta de: 10 pcOs, unser%idor 8"ases de datos9, acceso a internet# 5ed el=ctrica esta"ilizada# 5ed dedatos certi.icada#

7#2#MARCO TEÓRICO

?isten di.erentes estándares ;ue se desarrollaron para gestionar la seguridad dela in.ormación, algunos más generales, algunos centrados en la gestión de riesgos

8serie 6C6$ 20009, & otros incluso tendientes a desarrollar un modelo demadurez de la seguridad de la in.ormación 8por e


21/53

muestra una metodolog7a clara para realizar análisis de riesgo en un am"ienteempresarial+#

3a eguridad 6n.ormática es un pro"lema cultural, en el ;ue el usuario e"e considerarsecomo reglas a cumplir ;ue surgen para e%itar pro"lemas & ;ue se esta"lecen paradar soporte a los mecanismos de seguridad implementados en los sistemas & enlas redes de comunicación#

$ada d7a, para las empresas u organizaciones es indispensa"le sal%aguardar lain.ormación, ;ue se encuentra di%idida en cinco partes .undamentales: seguridad

4 PA33A MA, usta%o# 820049# Metodolog7a de implantación de un 6 en un grupoempresarial


22/53

.7sica, seguridad de red, seguridad de ost, seguridad de las aplicaciones & laseguridad de los datos#

3a gestión de la seguridad de la in.ormación de"e realizarse mediante un proceso

sistemático, documentado & conocido por toda la organización# ste proceso es el;ue constitu&e un 6, ;ue podr7a considerarse, por analog7a con una norma tanconocida como 6 4001, como el sistema de calidad para la seguridad de lain.ormación'#

Al a"lar de implementación, se permite esta"lecer el asocio a nue%astecnolog7as, e%aluando su in.ormación de manera precisa & consistente "a


23/53

All7 radica cam"iar el en.o;ue sist=mico, para este .in e?isten di.erenteserramientas, las normas 6 presentan un en.o;ue por procesos en donde sepueden lograr todos los o"


24/53

#2#2# A38&& ' R'&%(& I34()5896( Algunos autores an de.inido el riesgode acuerdo al tipo de situaciones en las ;ue se presenta#

egn Fernando 6z;uierdo >uarte, Kl 5iesgo es un incidente o situación ;ueocurre en un sitio concreto durante un inter%alo de tiempo determinado, conconsecuencias positi%as o negati%as ;ue podr7an a.ectar el cumplimiento de loso" >, Fernando# 3a administración & los riesgos# Len line# N: Ma?itana $, Jenni.er >#8Auditor en control de gestión9# !esis: Administración de riesgos de tecnolog7a de in.ormación deuna empresa del sector in.ormático# ua&a;uil cuador: scuela uperior polit=cnica del 3itoral,200-# P#)4# ttp:CCWWW#ci"#espol#edu#ecC>igipatC>Y!esisYP>FC>())40#pd. 14 *63$E !, Mart7n# l riesgo Len line# N: Macuca $, Jon# 8Magister en $onta"ilidad &

Auditor7a9# !esis u7a para la e%aluación del sistema de riesgo operati%o en la $ooperati%a de Aorro & $r=dito Jard7n Azua&o# $uenca cuador# /ni%ersidad de $uenca, 2011# P#21#ttp:CCdspace#ucuenca#edu#ecC"itstreamC12)+-'4C224C1Ctm++'#pd.

1


25/53

organización para las me


26/53

A continuación se ace un comparati%o en la ta"la 1#

21


27/53

!a"la 1# $omparati%o entre Magerit & Nist '00()0

MAGERITM'9(((%: ' 38&& ; G'&93 ' R'&%

(&' (& S&9'5& ' I34()563

NIST SP


28/53

• S')=6(&> comunicación, administración,etc#

• A?66(3'& 34()5896&> Permitenmanipular los datos#

• E@.?(&> Permiten la operación de los

sistemas• S(?()9'& ' I34()563> dispositi%os

para el almacenamiento de los datos#• E@.?5'39( A.)> impresoras,

scanner etc#• R''& ' 6(5.3663> para intercam"io

de datos#• I3&96(3'&> lugar ;ue alo


29/53

SELECCIÓN SALAGUARDAS• !omar medidas ;ue permitan reducir tanto

el 5iesgo como el 6mpacto#

• !=cnicas .ecti%as para en.rentar las Amenazas

RECOMENDACIONES DE CONTROL>ar a conocer los controles para la reducción delos 5iesgos en los sistemas de las !#6#, teniendo

en cuenta los siguientes .actores:• .icacia de las soluciones implantadas• 3egislación & 5egulación• 6mpacto operati%o• eguridad & Fia"ilidad

DOCUMENTACIÓN/na %ez terminada la e%aluación de 5iesgos &%ulnera"ilidades & amenazas 5ealizar un in.ormede los 5esultados "tenidos para posterioresanálisis#

Fuente: el autor

7#+# MARCO CONCEPTUAL

e medirán en /M! las: %ulnera"ilidades, amenazas & riesgos en cuantoa.ecten la disponi"ilidad, con.ia"ilidad e integridad# $on%irti=ndose as7 en las%aria"les ;ue de.inen el marco conceptual# Adicionalmente, con.orme lametodolog7a de análisis & e%aluación de riesgos, esta %aria"les, se %alorarán encuento a impacto & pro"a"ilidad de ocurrencia#

.3')' 6denti.icadas como a;uellas de"ilidades e?istentes en el

sistema de in.ormación de /M! & ;ue comprometen la seguridad de losdatos, pudiendo llegar a su perdida#

s un elemento de riesgo interno, ;ue representa la .acti"ilidad con ;ue los acti%oso el sistema completo sean a.ectados por el .enómeno ;ue caracteriza laamenaza#

3as %ulnera"ilidades se clasi.ican en:

*ulnera"ilidad F7sica: implica la parte .7sica del sistema & es la posi"ilidad de tener acceso a =l para realizar acciones malintencionadas#

*ulnera"ilidad Natural: medida de la e?posición del sistema a ser a.ectado por desastres naturales, inclu&endo las .luctuaciones se%eras de %olta


30/53

*ulnera"ilidad del EardWare & del so.tWare: de"ido a ;ue algunos tipos dedispositi%os pueden ser más %ulnera"les o d="iles ;ue otros por di%ersas razones,son elemento a e%aluar en la seguridad del sistema#

*ulnera"ilidad de los Medios o >ispositi%os: alude a la posi"ilidad de causar daosen los di.erentes dispositi%os componentes del sistema#

*ulnera"ilidad por manación: posi"ilidad de interceptar in.ormación mediante lasemisiones de los e;uipos de almacenamiento de in.ormación#

*ulnera"ilidad de las $omunicaciones: es un punto a considerar por lamultiplicidad de intercone?iones se a"re la posi"ilidad de ;ue ma&or cantidad dedispositi%os & personas puedan lograr acceso al sistema#

*ulnera"ilidad Eumana: !odo el personal autorizado o no, supone un determinado

ni%el de riesgo de acceso inde"ido al sistema, &a sea .7sicamente o por cone?iónremota# Por tanto de"en tomarse las medidas de protección apropiadas para cadani%el de acceso#

A5'3 !odo a;uello ;ue pueda llegar a a.ectar de alguna .orma la seguridadde la in.ormación del sistema en /M!# 3as amenazas se e?isten por;uee?isten las %ulnera"ilidades#

>entro de los tipos de amenazas e?iste cuatro clasi.icaciones: intercepción,modi.icación, interrupción & generación#

6ntercepción: .orma de acceder al sistema por cual;uier medio: una persona,programa o proceso sin tener autorización#

Modi.icación: no solo es acceder a un sistema sino alterar la in.ormación oaplicaciones en =l#

6nterrupción: es lograr mediante cual;uier m=todo interrumpir el normal.uncionamiento del sistema, &a sea a tra%=s del ardWare o del so.tWare#

eneración: es el logro de introducir datos no autorizados en el sistema#

R'&%( e identi.icarán como cual;uier impedimento, o"stáculo, amenaza opro"lema ;ue al a.ectar el sistema de in.ormación pueda impedir ;ue /M!alcance sus o"


31/53

lementos ;ue en determinado momento puedan llegar a a.ectar la in.ormación ensu:

C(34'36# sea la condición ;ue asegura ;ue la in.ormación en

/M! no está ni estará disponi"le para ;ue personas no autorizadas aacceder a esta in.ormación lo logren por medio alguno#

D&?(3# n /M! el acceso a los datos de su sistema de in.ormaciónde"e estar garantizado siempre ;ue sea re;uerido, por lo cual no de"e a"er incon%eniente de ningn orden para ;ue la empresa tenga a su alcance lain.ormación#

I39'%)# /somet re;uiere mantener su in.ormación li"re de modi.icaciones noautorizadas# 3a %iolación de la integridad puede concretarse cuando a&modi.icación de los datos &a sea por una persona, un programa o un dispositi%o

electrónico alterando los contenidos, modi.icándolos o "orrándolos en su totalidado parcialmente, sin ;ue sea un procedimiento autorizado#

3os riesgos se pueden clasi.icar en:5iesgos Financieros: este tipo de riesgo contiene tres elementos: p=rdidas en laorganización, causas de las p=rdidas .inancieras & las posi"les causas de p=rdida#

5iesgos >inámicos: a;uellos generados por .actores e?ternos pero ;ue a.ectan laadministración de la empresa#

5iesgos státicos: t7picamente originados por errores umanos o por desonestidad#

5iesgo speculati%o: trata de la posi"ilidad de ganar o perder#

5iesgo Puro: a;uellos ;ue pueden a.ectar el desarrollo de la administración delsistema, mediante la p=rdida de alguno o todos sus acti%os#

5iesgo Fundamental: es la posi"ilidad de a.ectación del sistema por .enómenoseconómicos o sociales#

5iesgo Particular: los ;ue pueden generar al sistema e%entos indi%iduales comoun ro"o, una inundación, etc#1

17 5iesgos & control in.ormático, /NA># >isponi"le en:

ttp:CCdatateca#unad#edu#coCcontenidosC2))00+CriesgosCleccinY)YanlisisYdeYriesgos#tml

26


32/53

7#,# MARCO LEGAL

$ódigo procesal penal de 14', ;ue tutela la in%iola"ilidad del domicilio & regulaen su art7culo ) las escucas tele.ónicas#

3e& de Protección de datos de 14''#

3e& 2C14'4, de 20 de diciem"re de 14'4, por la cual se de.inen nue%osconceptos & principios so"re la rganización de las !elecomunicaciones en$olom"ia & so"re el r=gimen de concesión de los ser%icios & se con.ieren unas.acultades e?traordinarias al Presidente de la 5ep"lica#

>ecreto 14+C1441, de 1 de iario .icial+2#1), del de diciem"re de 144-9#

5esolución 0' de - de septiem"re de 144, de la $omisión de 5egulación de las!elecomunicaciones, por medio de la cual se regula en .orma integral los ser%iciosde !ele.on7a P"lica Básica $onmutada 8!PB$9 en $olom"ia#

Pro&ecto de 3e& 22 de 21 de a"ril de 144', por medio del cual se de.ine &5eglamenta el Acceso & el uso del $omercio lectrónico3e& -2 de 1' de agosto de 1444, so"re Mensaatos, $omercioelectrónico & Firma >igital#

5esolución -2C2000, de 22 de septiem"re de la >irección eneral de 6mpuestos& Aduanas Nacionales, por la cual se reglamenta la administración, pu"licación &uso de la in.ormación electrónica %7a 6N!5AN! e 6N!5N! en la >irección de6mpuestos & Aduanas Nacionales#

Pro&ecto de 3e& 1 de )1 de enero de 200), por el cual se regulan lascomunicaciones *7a 6nternet & mediante el uso de Fa? ;ue se realicen desdelugares a"ilitados para "rindar al p"lico esos ser%icios#

Pro&ecto de 3e& 0-C200 enado KPor el cual se reglamenta el Ea"eas >ata & el>ereco de Petición ante ntidades Financieras, Bancarias & $entrales o Bancode >atosK# Acumulado Pro&ecto de 3e& nZ 2C200 enado KPor la cual se dictanlas disposiciones generales del a"eas data & se regula el mane


33/53

6n.orme de $onciliación al Pro&ecto de 3e& statutaria 221C200 de + de ata#

>ecreto 2'0 de )1 de iario o.icial nZ +#0 de )1 de erecos de los/suarios de er%icios de !elecomunicaciones#

$omisión de 5egulación de $omunicaciones de )0 de ocumento deconsulta p"lica9#

2(


34/53


35/53

# DISEÑO METODOLÓGICO

#1# TÉCNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN

()63 ' 69=(&n la ta"la 2, se presenta el .ormato para esta"lecer la relación de acti%os & su%aloración desde el punto de %ista de riesgos en materia in.ormática, siempre &cuando apli;uen en la empresa#

!a"la 2# *aloración de acti%os

ACTIOS DE LA EMPRESA USOMET LTDA#

L( @.' 9'3'

E'5'39( D'&6)?63

()63 ' 69=( Mu& Alto 8MA9

Medio 8M9Ba

er%idores

Prue"as

er%idores

3"


36/53

$entro de cómputo

>esarrolladores

5ed local

istema operati%o engeneral

tros empleados

Autenticación

Acceso

$ontrol del acceso

Acceso .7sico a lasinstalación

Para circular en lasinstalaciones

ntrada & salida dee;uipos

Normati%as

rganigrama

Fuente: el autor

O&')=63 )'69# Mediante %isitas a la empresa para tener una idea generalde los acti%os in.ormáticos, los procesos & procedimientos ;ue se lle%an a ca"o enla empresa /M!#

E39)'=&9# e realizan a los empleados de manera .ormal con el .in de recaudar in.ormación acerca de los procedimientos de uso cotidiano & ;ue tenga relación

31


37/53

directa con el mane


38/53

• 5egistrar los allazgos de %ulnera"ilidades, amenazas & riesgos, so"re su.orma de uso en instrumentos de medición pre%iamente diseados#

"e.inir mecanismos de gestión de seguridad in.ormático "asados en la

norma 6C6$ 2001 ;ue .aciliten la solución de pro"lemas mediante laaplicación de pol7ticas & procedimientos#

Acti%idades:• >e.inir pol7ticas de seguridad de la in.ormación para el maneA#

33


39/53

10# ADMINISTRACIÓN DEL PRO!ECTO

10#1# RECURSO HUMANO

Asesor del pro&ecto: Francisco Nicolás olarte!7tulo Pro.esional: Magister

Nom"re: Jaime Eernando Eenao 5odr7guez$=dula No: 14#)0#+-'!7tulo Pro.esional: 6ngeniero de istemas6nstitución: /ni%ersidad Nacional A"ierta & a >istancia /NA>Per.il: studiante de specialización en eguridad 6n.ormática#

10#2# RECURSOS MATERIALES>10#2#1# E&?6( ' 9)(> .icina en: $alle +0 No# +B(+, Barrio:Macarena parte alta# 6"agu=, !olima# $olom"ia

10#2#2# R'6.)&( 34()5896(: 10 pcOs, un ser%idor, acceso a internet# 5edel=ctrica esta"ilizada# 5ed de datos certi.icada#

10#2#)# M.''& ; '3&')'& ' (463: 3os dispuestos por la empresa/M!#

34


40/53

11# PRESUPUESTO

3os recursos umanos, t=cnicos & .inancieros se detallan a continuación en lata"la ):

!a"la )# Presupuesto

RECURSOS H()& C39()

U3() T(9 F336( ?()>

5ecursos F7sicos!inta 6mpresora#Papel 85esma9$> Fotocopias

>igitación

6mpresión Análisis de

documentos0otal de ecursos 1%sicos

2210

200

-#0004#000

10#000-0

1-0#0001'#00010#00010#000

100#000

2-0#000

2-0#000''#000

studiante#

5ecursos de er%icios6nternet0otal de ecursos deServicios

'0 1 )#000 2+0#0002+0#000

studiante#

5ecursos Eumanos Asesor7a0otal de ecursos2umanos

)00#000 )00#000)00#000

studiante#

tros*isitas!ransportes6mpre%istos0otal de 3tros Servicios

100#000200#000-0#000

)-0#000

studiante#

!!A3 1O2'#000Fuente# la"oración propia autor pro&ecto# 201-

l total de gastos estipulados para el desarrollo del presente pro&ecto es de[1O2'#000, ;ue será asumido por el estudiante#

11#1# CRONOGRAMA DE ACTIIDADES

Para la realización .inal & cumplimiento del presente pro&ecto in%estigati%o, sepretende lle%ar a ca"o el cronograma de acti%idades de la ta"la +#

35


41/53

!a"la +# $ronograma de acti%idades

ACTIIDADM'& 1 M'& 2 M'& * M'& +

1 2 * + , $ 7 < 10 11 12 1* 1+ 1,5ealizar %isitas a la empresapara identi.icar los acti%osin.ormáticos e?istentes,registrando cada uno en los

olicitar in.ormación so"re losin%entarios de e;uipos &planos de la red#ntre%istar a los responsa"lesdel área in.ormática paradeterminar los acti%osin.ormáticos ;ue soportan el

olicitar in.ormación so"re los.uncionarios & procesos ;ue

cada uno realiza so"re los Acompaar en su la"or a los.uncionarios ;ue realizanacti%idades ;ue in%olucran losacti%os in.ormáticos#

5egistrar los allazgos de%ulnera"ilidades, amenazas &riesgos, so"re su .orma deuso en instrumentos demedición pre%iamente

>e.inir pol7ticas de seguridadde la in.ormación para el

maneisear el plan de

socialización de resultados#ocializar el resultado de estepro&ecto#

Fuente# l autor

36


42/53

12#DESARROLLO DEL PRO!ECTO

ste pro&ecto se inicia con la apro"ación por parte de /M!, para desarrollar

el pro&ecto en su empresa durante el tiempo re;uerido & o"tener el otorgamientode los permisos necesarios para tener acceso a toda la in.ormación pertinente alsistema de in.ormación ;ue emplean actualmente# sta apro"ación &a .ue emitida& constancia de la misma se encuentra en los ane?os#

$ontinuando el orden en ;ue se de"e proceder se procedió a gestionar el primero"iagnosticar las condiciones actuales de la empresa /M! 3tda, en lorelacionado en materia de in.ormación & seguridad in.ormática, identi.icando susacti%os in.ormáticos, mediante instrumentos de recolección de in.ormación#I

"teniendo como resultado esta in.ormación:

12#1# IDENTIFICACIÓN DE ACTIOS#

n la ta"la - se ela"ora una relación de los acti%os in.ormáticos identi.icados en laempresa#

!a"la -# Acti%os in.ormáticos /M! 3tda

ELEMENTO CANTIDAD

H))'Portátiles 2P$ de escritorio -6mpresoras 2er%idores 15ed estructurada interna 1

Acceso a internet 1/P 1

S(49)'o.tWare anti%irus !odos los e;uiposFireWall Acti%o en todos los e;uiposBases de datos Ningunao.tWare en ;ue se administra la in.ormación M## ?cel ( \ord

S'%.) 34()5896 ; ' 34()563studio de seguridad in.ormática para laempresa

Ninguno

Plan de contingencia in.ormática Ninguno$ontrol de acceso a la in.ormación Ninguno$ontrol de acceso .7sico a los e;uipos istema de %igilancia %irtual mediante cámaras#Fuente: el autor

37


43/53

12#2# RECONOCIMIENTO DEL PERSONAL DE LA EMPRESA

A e.ectos de esta"lecer el %olumen de personal ;ue interacta con el sistema se

ace una relación del mismo en la ta"la #!a"la # Personal de la empresa /M! 3tda

P')&(3Personal .i


44/53

in.ormación & losm=todos deprocesamiento

en operaciones de laorganización, acti%osde la organización, oindi%iduos#

organización, acti%os de laorganización, o6ndi%iduos#

se%ero o catastró.icoen las operacionesde la organización,acti%os de laorganización, o

indi%iduos#

D&?(3

Asegurar ;ue losusuariosautorizados tenganacceso a lain.ormación & a losacti%os asociadoscuando seanecesario

3a interrupción deacceso a o uso dein.ormación o a unsistema de in.ormaciónpodr7a esperarse tengaun e.ecto ad%ersolimitado en lasoperaciones de laorganización, acti%osde la organización, oindi%iduos#

3a interrupción de accesoa o uso de in.ormación oa un sistema dein.ormación podr7aesperarse tenga un e.ectoserio en las operacionesde la organización,acti%os de laorganización, oindi%iduos#

3a interrupción deacceso a o uso dein.ormación o a unsistema dein.ormación podr7aesperarse tenga une.ecto se%ero ocatastró.ico en lasoperaciones de laorganización, acti%osde la organización, oindi%iduos#

Fuente: el autor

Para identi.icar la cali.icación en la %aloración de acti%os se presenta la ta"la '#

!a"la '# Ni%eles de %aloración de acti%os in.ormáticos

N=' D'&6)?63

MA Mu& Alto

A Alto

M Medio

B Ba


45/53

in.ormación de laempresa#Protección de lain.ormación ;ueall7 se gestiona#

6mpresoras Peri.=ricos de usocompartido#Protección de lain.ormación ;ueall7 se imprime#

M M A

er%idores Acta de ser%idorWe", mientras;ue toda lain.ormación esalmacenada enlas carpetas &arci%osasignados paracada usuario#Protección de lain.ormación ;ueall7 se gestiona#

MA MA MA

5ed estructuradainterna

'02#1]#Protección de lain.ormación ;ueall7 transita#

MA MA MA

Acceso a internet Medio decomunicación dein.ormación entreempleados de laempresa, conpro%eedores &

clientes#Protección de lain.ormación ;uepor all7 transita#

MA MA MA

/P 5espaldo para ladisponi"ilidad de.luido el=ctricopara la operacióndel sistema#5espaldo de laoperación#

B B MA

S(49)'o.tWare anti%irus Norton anti%irus

licenciado &actualizado#Medio de de.ensa.undamental#5espaldo de laoperación#

MA MA MA

FireWall Barrera decontención a

MA MA MA

4"


46/53

acceso noautorizado desdeel e?terior#5espaldo de laoperación#

o.tWare en ;ue seadministra lain.ormación

M ?cel & M\ord#o.tWare deo.imática "astanteesta"le pero nocuenta conseguridad deacceso & respaldo

MA MA MA

S'%.)34()5896 ; '

34()563

MA MA MA

studio deseguridadin.ormática para laempresa

!oda empresare;uiere contarcon un apropiadoestudio deseguridad para susistema dein.ormación, sicuenta con uno#

MA MA MA

Plan de contingenciain.ormática

!oda empresare;uiere contarcon planes decontingenciade"idamenteela"orado parasus condicionesespec7.icas#

MA MA MA

$ontrol de acceso ala in.ormación

!oda empresare;uiere disear &esta"lecer laspol7ticas decontrol .7sico &lógico de accesoa su sistema dein.ormación#

MA MA MA

Fuente: el autor

41


47/53

1*#DIAGNÓSTICO

3a empresa /M!, en materia in.ormática, se encuentra desprotegida &con.orme la relación anterior, no está preparada para atender de"idamentee%entualidades ;ue pudieran a.ectar su sistema de in.ormación#

>e lo anterior se desprende ;ue en materia de seguridad in.ormática esta todo por acer en esta empresa#

42


48/53

1+#DIULGACIÓN

3a di%ulgación de las medidas de seguridad deri%adas de este pro&ecto será

gestionada directamente por la gerencia de la empresa /M! en cuanto a&asido apro"ado#

43


49/53

1,#REFERENCIAS BIBLIOGRÁFICAS

A# # arc7a, KDise!o de un sistema de gestión de la seguridad informática SSI,

para empresas del área te#til en las ciudades de Itag$%, &edell%n ' (ogotá D.). atrav*s de la auditor%a" # Ln l7nea# >isponi"le:repositorunad#edu#coC"itstreamC10-4C)++'C1C10)0-+'241#pd.#

A>M6N6!5A$6N > 56, ACNQ +)0, 200+

A*63A A5Q/QA, Mari"el# 6mplantación de un 6# Barcelona( spaa (/ni%ersitat "erta de $atalun&a, 2012

B6N, Mar7a *ictoria# Metodolog7a para el aseguramiento de entornosin.ormatizados MA6# Buenos Aires Argentina# /ni%ersidad de Buenos Aires,

200+$5*5A, Josep# 820019# 3A !5AN6$6TN A 3A N/*A 6 400:2000 U /6MP3MN!A$6TN# >7az de antos editores# 2001

# ># spaa, KMA56! %ersión )#0# Metodolog7a de Análisis & estión de5iesgos de los istemas de 6n.ormación# 3i"ro 666 ( u7a de !=cnicas,K Ln l7nea#>isponi"le:ttps:CCproteigipatC>Y!esisYP>FC>())40#pd.

3PQ $, Francisco Jos=# 8200'9# 3 6!MA 6N!5A> > !6N#Bogotá# 6$N!$#

44


50/53

M!>3SA ;ue 6ntegra eguridad en 6!63 %olucionada & rientada a laNormalización, disponi"le en internet en:ttp:CCespacio#uned#es:'0'0C.edoraCgetCtesisuned:6ng6n.(ruizC>ocumento#pd.

N!\5_6N online, GNormas 6C6$ 2001, 2002 & su estructuraI disponi"leen: ttp:CC6, !ecnolog7a de la in.ormación#$ódigo de "uenas prácticas para la gestión de la seguridad de la in.ormación,200, p#'#

# A# # Jaramillo, "Estudio de los procesos de seguridad de la información" 2011#Ln l7nea# >isponi"le:ttp:CCrepositorio#utp#edu#coCdspaceC"itstreamC110-4C2)0C1C00-'-2#pd.#

PA33A MA, usta%o# 820049# Metodolog7a de implantación de un 6 en ungrupo empresarial


51/53

ENLACES EB

3A A/>6!5SA interna como una erramienta para esta"lecer controles internos

e.icientes en las pe;ueas & medianas empresas .erreteras de la $iudad de anMiguel, disponi"le en internet en: ttp:CC1'#2+)#))#1-)Cin.oli"CtesisC-010)'#pd.

$A36>A> & eguridad de la in.ormación & auditor7a in.ormática, disponi"le eninternet en:ttp:CCearci%o#uc)m#esC"itstreamCandleC1001C'-10Cpro&ectosmeralda#pd.+>$>>1$+0Dse;uenceR1

!6TN estrat=gica de seguridad en la empresa, disponi"le en internet en:ttp:CC%ideo#anetcom#esCeditorialCeguridadYempresa#pd.

46

http://video.anetcom.es/editorial/Seguridad_empresa.pdfhttp://video.anetcom.es/editorial/Seguridad_empresa.pdf


52/53

ANE-OS

ANE-O A S(69. '3= %')'39' ' USOMET L9#

47


53/53

ANE-O B R'&?.'&9 ' ?)(63 ' %')'39' ' USOMET L9#

proyecto grado jaime henao avances

Documents