Upload File

proyecto investigacion ingenieria de sistemas

prev
next
out of 32
Download Proyecto Investigacion Ingenieria de Sistemas

Upload: gustavo-benites

Post on 05-Mar-2016

229 views

Category:

Documents


0 download

Report

DESCRIPTION

Acercade al faculta d eingenieria de sistemas

TRANSCRIPT

DESARROLLO E IMPLEMENTACIN DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN EN COMPUTACION, COMUNICACIONES Y REDES S.A.________________________________________________________________________________________

2015

INDICEPRESENTACION...02INTRODUCCION.....03

CAPITULO I: PLANTEAMIENTO DEL PROBLEMA...04DEFINICION DEL PROBLEMA.04FORMULACION DEL PROBLEMA..04PROBLEMA GENERAL...04PROBLEMA ESPECIFICO..04DEFINICION DEL PROBLEMA.04FORMULACION DEL PROBLEMA..04PROBLEMA GENERAL...04PROBLEMA ESPECIFICO.....04OBJETIVOS...........................................................................05OBJETIVOS GENERALES......05OBJETIVOS ESPECIFICOS....05JUSTIFICACION E IMPORTANCIA.....05JUSTIFICACION..05IMPORTANCIA06ALCANCES Y LIMITACIONES...07ALCANCES.....07LIMITACIONES..............07CAPITULO II: MARCO TEORICO CONCEPTUAL....08ANTECEDENTES...08MARCO CONCEPTUAL...08CAPITULO III: MARCO METODOLOGICO......16METODOLOGIAS...16HERRAMIENTAS...17TECNICAS..17CAPITULO IV: GESTION DEL PROYECTO..21

CRONOGRAMA...21PRESUPUESTO...23CONCLUSIONES....23GLOSARIO....24BIBLIOGRAFIA..26

PRESENTACION

En el presente trabajo, se desarrolla el modelo para implementar un sistema de gestin de seguridad de la informacin para cualquier organizacin. Para la aplicacin del presente trabajo se trabajar con una empresa real: Computacin, comunicaciones y redes que brinda servicios para proteger la informacin de posibles ataques.Debido al crecimiento de CCNet S.A., entidad que brinda servicios y productos de valor agregado en telecomunicaciones a nivel corporativo. La probabilidad de que la informacin sea interceptada y/o modificada por personas inescrupulosas ha aumentado exponencialmente lo cual es peligroso para la organizacin.Es por ello que Computacin, comunicaciones y redes se ve en la necesidad de implementar un conjunto de herramientas, procedimientos, controles y polticas que aseguren la confidencialidad, disponibilidad e integridad de la informacin; con ellos garantizar a que se acceda a la informacin solo por quienes estn designados para su uso, que est disponible cuando requieran los que estn autorizados y permanezcan tal y como fue creada por sus propietarios, y asegurar tambin la actualizacin de la misma.

INTRODUCCIONEn el presente trabajo, se desarrolla el modelo para implementar un sistema de gestin de seguridad de la informacin para cualquier organizacin. Para la aplicacin del presente trabajo se trabajar con una empresa real: Computacin, comunicaciones y redes que brinda servicios para proteger la informacin de posibles ataques.La informacin hoy en da, es uno de los ms importantes activos no solo para la empresa y organizaciones, si no para cada individuo. Por este motivo la misma requiere ser asegurada y protegida en forma apropiada. Estos riegos no solo vienen desde el exterior de las empresas sino tambin desde el interior.Es por ello que Computacin, comunicaciones y redes se ve en la necesidad de implementar un conjunto de herramientas, procedimientos, controles y polticas que aseguren la confidencialidad, disponibilidad e integridad de la informacin; con ellos garantizar a que se acceda a la informacin solo por quienes estn designados para su uso, que est disponible cuando requieran los que estn autorizados y permanezcan tal y como fue creada por sus propietarios, y asegurar tambin la actualizacin de la misma.El presente trabajo consta de cuatro captulos, las cuales son:En el captulo I se presenta el planteamiento del problema, dentro de la cual se encuentra la definicin y formulacin del problema, los objetivos, justificacin, importancia, alcances y limitaciones del proyecto.En el captulo II muestra el marco terico conceptual, en el que se encuentran los antecedentes nacionales e internacionales del proyecto y las bases tericas relacionadas con sistema de gestin de seguridad de la informacin (SGSI), definiciones y trminos bsicos que sustentan el desarrollo adecuado del trabajo.En el captulo III marco metodolgico, se especifican las metodologas, herramientas y tcnicas utilizadas para el desarrollo del trabajo de investigacin.En el captulo IV est destinado a la presentacin del cronograma y presupuesto del trabajo de investigacin.A partir de los resultados obtenidos se han planteado las conclusiones y finalmente se consigna la bibliografa utilizada para realizar el presente trabajo de investigacin.

CAPITULO IPLANTEAMIENTO DEL PROBLEMA

1.1 DEFINICION DEL PROBLEMA

Debido al crecimiento de CCNet S.A., entidad que brinda servicios y productos de valor agregado en telecomunicaciones a nivel corporativo. La probabilidad de que la informacin sea interceptada y/o modificada por personas inescrupulosas ha aumentado exponencialmente lo cual es peligroso para la organizacin.

Con respecto al ataque a la informacin, la mayora de los incidentes ocurridos podran ser evitados con controles de niveles simples o intermedios. Adems, los incidentes ocurridos tardan varias semanas en ser detectados y dichos incidentes son detectados por terceros y no por quien es la vctima.

El proyecto est orientado al desarrollo de un software que nos permita proveer de seguridad a la informacin de las empresas clientes de CCNet S.A. Tambin al uso de polticas, normas, estndares que nos permitan solucionar problemas de seguridad de manera eficaz.

1.2 FORMULACION DEL PROBLEMA

1.2.1 PROBLEMA GENERAL

Es posible desarrollar e implementar un sistema de gestin de seguridad de informacin a la empresa CCNet?

1.2.2 PROBLEMA ESPECIFICO

Qu recursos est tratando la empresa de proteger? De quienes necesita proteger los recursos? Estn conscientes los colaboradores involucrados en el proceso de tecnologa, en temas de seguridad de informacin?

1.3 OBJETIVOS

1.3.1 OBJETIVO GENERAL

Implementar un sistema de gestin de seguridad de informacin a la empresa CCNet S.A.

1.3.2 OBJETIVOS ESPECIFICOS

Proteger el hardware (computadoras personales, unidades de disco, routers), software (sistemas operativos), datos (durante la ejecucin, almacenados en lnea, registros de auditoras, bases de datos), personas (usuarios y trabajadores) de las empresas clientes. Proteger los recursos de los catos maliciosos o malintencionados (Virus, Uso no autorizado de sistemas informticos, suplantacin de identidad, desastres naturales etc.) Formar y concientizar a los colaboradores involucrados en los procesos de tecnologa, en temas de seguridad de informacin.

1.4 JUSTIFICACION E IMPORTANCIA

1.4.1 JUSTIFICACION

Computacin, Comunicaciones y Redes S.A. (CCNet S.A.) es una empresa peruana, cuyo objetivo es proveer servicios y productos de valor agregado en telecomunicaciones a nivel corporativo, entre esos servicios se encuentra la seguridad informtica y de redes, por lo que necesita el desarrollo de un sistema que permita proteger la informacin de las empresas a las cuales provee servicios, as como la prevencin de intrusos (IPS), filtros de contenido, etc.

Teniendo en cuenta lo expuesto anteriormente, entonces se puede ver que hay la necesidad de que Computacin, Comunicaciones y Redes S.A. deba contar con un sistema de gestin de seguridad de informacin, el cual garantice confidencialidad, integridad y disponibilidad para las empresas quienes son sus clientes.

Adems, debe hacer buen uso de polticas, normas, estndares que nos permitan solucionar problemas de seguridad de manera eficaz. Para ello existen normas y estndares relacionados a la seguridad de informacin.

Por lo mencionado anteriormente se propone realizar la implementacin mediante un Sistema de gestin de seguridad de informacin (SGSI), el cual nos brindar los procedimientos necesarios para identificar y evaluar los riesgos, las amenazas y vulnerabilidades de los activos de informacin.1.4.2 IMPORTANCIA

Cuando se trata de tener seguridad de la informacin, es importante entender que esta debe ser gestionada. Esto implica disear e implementar una serie de procesos que permitan gestionar la informacin de manera eficiente para una mayor integridad, confidencialidad.

La informacin es la base que hace posible la existencia de aplicaciones, dispositivos de hardware, nuevas formas de elaborar informacin ms consistente, tecnologa nueva, etc.

Para ello se debe conocer que la informacin est almacenada y procesada en computadoras, puede ser confidencial para las empresas, puede ser mal utilizada o divulgada y puede estar sujeta a robos o fraudes. Esta informacin puede estar centralizada o que se puede dar la destruccin parcial o total de la informacin ocasionando grandes problemas a la empresa.

Si ocurriera un accidente en el lugar donde se almacena la informacin, la pregunta es: Cunto tiempo debe pasar para que dicha empresa recupere esa informacin y este nuevamente en operacin?

Por ello mismo se debe tener en cuenta que el lugar donde se almacena la informacin debe ser valiosa ya que es ms vulnerable.Para poder estar preparados ates cualquier imprevisto y actuar con rapidez y eficacia, es necesario implantar un sistema de gestin de seguridad de la informacin. Gracias a este sistema se puede analizar los posibles riesgos y establecer las medidas necesarias de seguridad y disponer de controles que nos permitan evaluar la eficacia de esas medidas.

Con la implementacin del sistema de seguridad de informacin se lograra lo siguiente:1. Con respecto seguridad fsica y ambiental1.1 Anlisis y mejora de data center.1.2 Desarrollo de procedimientos.1.3 Interoperabilidad.2. Con respecto a controles de acceso2.1 Segmentacin en la red2.2 Bloqueo de sesiones inactivas2.3 Controles al sistema operativo.3. Con respecto a desarrollo y mantenimiento de sistemas3.1 Monitoreo de sistemas.3.2 Definiciones de seguridad para nuevos proyectos.

4. Con respecto a la continuidad y cumplimiento4.1 Respaldos de sistemas y datos4.2 Respaldos de estaciones criticas

Adems, lograra que se realice trabajo en equipo, compromiso por parte de los trabajadores, disposicin al cambio y genere mayor conocimiento.

1.5 ALCANCES Y LIMITACIONES

1.5.1 ALCANCES

Para el desarrollo del proyecto se implementar un conjunto adecuado de controles, que abarcan polticas, prcticas, procedimientos, estructuras organizacionales y funciones de software, se podr garantizar la seguridad de la informacin.

Con estas medidas puede ayudar a una empresa a cumplir sus objetivos, protegiendo sus recursos financieros, sistemas, reputacin y situacin legal.

1.5.2 LIMITACIONES

Para realizar el desarrollo del presente proyecto se presentan las siguientes limitaciones:1. Limitada capacidad del personal1.1 Tercerizar al personal para la realizacin de actividades.2. Delimitadas fechas de entrega2.1 Incrementar horas hombre en el diseo e implementacin del proyecto.3. Disposiciones presupuestarias3.1 Priorizar nuevos recursos informticos.3.2 Mantener recursos informticos usados, es decir, ampliar la garanta.

CAPITULO IIMARCO TEORICO CONCEPTUAL

2. MARCO TEORICO CONCEPTUAL2.1 ANTECEDENTES

En el mbito de la empresa COMPUTACION, COMUNICACIONES Y REDES no existe una investigacin de este tipo por lo que este trabajo ser un punto de partida para que se investigue acerca de este tema.En el Per y en el mundo existen empresas que brindan aseguramiento de informacin a muchas otras, de las se mostraran a continuacin:

NACIONALES: Polticas de seguridad de la informacin en CORPAC S.A.Cada poltica de seguridad de la informacin es un lineamiento de la organizacin a cada uno de sus miembros internos y externos, para reconocer a la informacin como uno de sus principales activos, as como un motor de intercambio y desarrollo en el mbito de sus funciones. Tal lineamiento debe concluir en una posicin consiente y vigilante del personal respecto al uso y limitaciones de los recursos y servicios de informacin de la organizacin.

2.2 MARCO CONCEPTUALLos conceptos que se utilizan para la elaboracin de este proyecto son los siguientes:

2.2.1 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN (SGSI):(EN INGLS INFORMATION SECURITY MANAGEMENT SYSTEM, ISMS)Podramos definirlo como una herramienta de gestin o un conjunto de responsabilidades, procesos, procedimientos y recursos que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la informacin en la empresa y as asegurar la continuidad de la operatividad de la empresa.Antes de comenzar a ver las caractersticas de este tipo de sistemas, importante diferenciar entre seguridad informtica y seguridad de la informacin. LA SEGURIDAD INFORMTICA: Se refiere a la proteccin de las infraestructuras de las tecnologas de la informacin y comunicacin que soportan al negocio. LA SEGURIDAD DE LA INFORMACIN: Se refiere a la proteccin de los activos de informacin fundamentales para el xito de cualquier organizacin.

Entre los muchos ejemplos de informacin que podemos encontrar en una empresa son los correos electrnicos, pginas web, imgenes, bases de datos, faxes, contratos, presentaciones, documentos, etc.

Adems, es necesario considerar el ciclo de vida de la informacin, ya que lo que hoy puede ser crtico para nuestro negocio puede dejar de tener importancia con el tiempo.Para garantizar la seguridad de toda esta informacin se cuenta con la ayuda de in sistema de gestin de seguridad de la informacin.

Esta metodologa nos va a permitir, en primer lugar, analizar y ordenar la estructura de los sistemas de informacin. En segundo lugar, nos facilitar la definicin de procedimientos de trabajo para mantener su seguridad. Y por ltimo nos ofrecer la posibilidad de disponer de controles que permitan medir la eficacia de las medidas tomadas.

Estas acciones van a proteger a la empresa frente a amenazas y riesgos que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de negocio. De esta manera se mantiene el riesgo para la informacin por debajo del nivel asumible por la propia organizacin.

La gestin de los riesgos a travs de un sistema de Gestin de Seguridad de la informacin nos va a permitir preservar la confidencialidad, integridad y disponibilidad de la misma, en el interior de la empresa, ante sus clientes y ante las distintas partes interesadas en el negocio de la empresa.

LA CONFIDENCIALIDAD: Implica el acceso de la informacin por parte nicamente de quienes estn autorizados. LA INTEGRIDAD: Conlleva el mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. LA DISPONIBILIDAD: Entraa el acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran.

El acrnimo utilizado para hablar de estos parmetros bsicos de la seguridad de la informacin es CID (en espaol) o CIA (en ingls). Con el fin de proporcionar un marco de Gestin dela seguridad de la informacin utilizable por cualquier tipo de organizacin se ha creado un conjunto de estndares bajo el nombre de ISO/IEC 27000. Estas normas van a permitir disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software.

2.2.2 SEGURIDAD DE LA INFORMACIONEs decir, son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, disponibilidad e integridad de la misma.

La informacin es poder, y segn las posibilidades estratgicas que ofrece tener acceso a cierta informacin, a sta se clasifica como: CRITICA: Es indispensable para la operacin de la empresa. VALIOSA: Es un activo de la empresa y muy valioso. SENSIBLE: Debe ser conocida por las personas autorizadas.

2.2.3 ACTIVO DE INFORMACIONUn activo es todo aquello que las entidades consideran importante o de alta validez para la informacin como lo puede ser Base de Datos con usuarios, contraseas nmeros de cuentas, etc. Por esta razn, los activos necesitan tener proteccin para asegurar una correcta operacin del negocio y una continuidad en la operacin. Al identificar los activos de informacin tenemos que tener en cuenta que estos pueden proceder de distintas fuentes de informacin dentro de la empresa y que pueden encontrarse en diferentes soportes, como papel o medios digitales.

Los activos se pueden clasificar en las siguientes categoras: Activos e informacin (datos, manuales de usuario, etc.) Documentos de papel (Contratos) Activos de software (aplicacin, software de sistemas, etc.) Activos fsicos (computadoras, medios magnticos, etc.) Personal (Clientes, empleados) Imagen de la compaa y reputacin Servicios (Comunicaciones, etc.)

2.2.4 CONFIDENCIALIDADEs la garanta de que la informacin personal ser protegida para que no sea divulgada sin consentimiento de la persona. Dicha garanta se lleva a cabo por medio de un grupo de reglas que limitan el acceso a sta informacin.

Por ejemplo, una transaccin de tarjeta de crdito en internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante de una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado de nmero de tarjeta que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la confidencialidad.Si la informacin confidencial incluye material que puede poner enriesgola seguridad de una nacin, el nivel de precauciones ser mucho mayor. Por lo general, los documentos de esta naturaleza de ponen bajo la custodia de organismos pblicos especializados, en ubicaciones secretas, y en muchos casos se recurre a la escritura en clave.La confidencialidad de la informacin digital (como un correo electrnico) tambin puede protegerse, aunque no con medidas fsicas, sino conmecanismos de cifradoy otras herramientas virtuales.

2.2.5 INTEGRIDADPara la seguridad de la informacin, es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacin.

2.2.6 DISPONIBILIDADLa disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en el momento que as lo requieran.En el caso de los sistemas informticos utilizados para almacenar y procesar la informacin, los controles de seguridad utilizados para protegerlo, y los canales de comunicacin protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. LaAlta disponibilidadsistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energa, fallos de hardware, y actualizaciones del sistema.Garantizar la disponibilidad implica tambin la prevencin de ataque denegacin de servicio. Para poder manejar con mayor facilidad la seguridad de la informacin, las empresas o negocios se pueden ayudar con un sistema de gestin que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la informacin del negocio.

La disponibilidad adems de ser importante en el proceso de seguridad de la informacin, es adems variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnolgica, servidores de correo electrnico, de bases de datos, de web etc., mediante el uso de clsteres o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades depender de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

2.2.7 ROBO DE IDENTIDADEl robo de identidades la apropiacin de la identidadde una persona: hacerse pasar por esa persona, asumir su identidad ante otras personas en pblico o en privado, en general para acceder a ciertos recursos o la obtencin de informacin y puede realizar cualquier clase de fraude que origine la prdida de datos personales, como, por ejemplo, contraseas, nombres de usuario, informacin bancaria o nmeros de tarjetas de crdito.

El robo de identidad en lnea en ocasiones se conoce comola suplantacin de identidad (phishing).Existen varios mtodos para obtener datos de la informacin personal: Correos falsos: esta tcnica permite pasar a un atacante por una organizacin, banco o empresa verdaderos para obtener informacin que garantice acceso a algn recurso que usted utilice en esa organizacin, banco o empresa. Personal: cualquier persona maliciosa podra obtener informacin que escuch o vio de parte suya que le garantice acceso a algn recurso valioso. Ataque organizado: cualquier atacante podra intentar superar la seguridad de un banco, empresa u organizacin para obtener informacin personal de los clientes para luego acceder a algn recurso de esa empresa. Ataque a servidores de almacenamiento de informacin online: el atacante puede tratar de obtener datos de un servidor de almacenamiento de datos en la nube; obteniendo contraseas, DNI, cuentas bancarias, etc. LSSI: La legislacin espaolaLSSI (artculo 10) obliga a cualquier autnomo que tenga una pgina web, o cualquier persona con pgina web que ponga adsense o recomendaciones de libros de Amazon, a poner su nombre y apellidos completo, su DNI y la direccin de su domicilio personal frente a multas que superan los 30001 euros por infraccin grave. Con esos datos, es razonablemente fcil el robo de identidad, y dar de baja la lnea fija, el ADSL, o modificar aspectos del recibo de la luz o del agua al particular al que la ley le ha obligado a poner sus datos en Internet.

2.2.8 SEGURIDAD FISICALa seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma.

As, laSeguridad Fsicaconsiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicada la empresa.Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

2.2.9 COMPUTACION FORENSEElcmputo forense, tambin forense,computacin forense,anlisis forense digitaloexaminacin forense digitales la aplicacin de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de un proceso legal.

Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales, autenticar datos y explicar las caractersticas tcnicas del uso aplicado a los datos y bienes informticos.

Como la definicin anterior lo indica, esta disciplina hace uso no solo de tecnologas de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que tambin requiere de una especializacin y conocimientos avanzados en materia de informtica y sistemas para poder detectar dentro de cualquier dispositivo electrnico lo que ha sucedido. El conocimiento del informtico forense abarca el conocimiento no solamente del software sino tambin de hardware, redes, seguridad, hacking, cracking, recuperacin de informacin.

La informtica forense ayuda a detectar pistas sobre ataques informticos, robo de informacin, conversaciones o pistas de emails, chats.

La importancia de stos y el poder mantener su integridad se basa en que la evidencia digital o electrnica es sumamente frgil. El simple hecho de darle doble clic a un archivo modificara la ltima fecha de acceso del mismo.

Es muy importante mencionar que la informtica forense o cmputo forense no tiene parte preventiva, es decir, la informtica forense no tiene como objetivo el prevenir delitos, de ello se encarga la seguridad informtica, por eso resulta imprescindible tener claro el marco de actuacin entre la informtica forense, la seguridad informticay la auditoria informtica.

2.2.10 INTERNATIONAL ELECTROTECHNICAL COMMISION (IEC)La comisin electrotcnica internacional es una organizacin denormalizacinen los campos:elctrico,electrnicoy tecnologas relacionadas.La CEI fue fundada en1906, siguiendo una resolucin del ao1904aprobada en el Congreso Internacional Elctrico enSan Luis (Misuri). Su primer presidente fueLord Kelvin. Tena su sede enLondreshasta que en 1968 se traslad a Ginebra.La CEI est integrada por los organismos nacionales de normalizacin, en las reas indicadas, de los pases miembros.En2003, a la CEI pertenecan ms de 60 pases miembros. En2015,son 83 miembros, cada uno de ellos representando a un pas: son 60 los Miembros Plenos, y 23 los Miembros Asociados.

Numerosasnormasse desarrollan conjuntamente con laOrganizacin Internacional de Normalizacin(International Organization for Standardization,ISO): normas ISO/IEC.

En1938, el organismo public el primer diccionario internacional (International Electrotechnical Vocabulary) con el propsito de unificar la terminologa elctrica, esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo elVocabulario Electrotcnico Internacionalun importante referente para las empresas del sector.

2.2.11 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO)Es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin (tanto de productos como de servicios), comercio y comunicacin para todas las ramas industriales. Su funcin principal es la de buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones (pblicas o privadas) a nivel internacional.

La ISO es una red de los institutos de normas nacionales de 163 pases, sobre la base de un miembro por pas, con una Secretara Central enGinebra(Suiza) que coordina el sistema. Est compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomits encargados de desarrollar las guas que contribuirn al mejoramiento.

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningn otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningn pas. El contenido de los estndares est protegido por derechos de copyright y para acceder a ellos el pblico corriente debe comprar cada documento.

2.2.12 CIRULO DE DEMINGTambin conocido comocrculo PDCA(plan-do-check-act, es,planificar-hacer-verificar-actuar) oespiral de mejora continua, es una estrategia demejora continuade lacalidaden cuatro pasos, basada en un concepto ideado porWalter A. Shewhart. Es muy utilizado por los sistemas de gestin de calidad (SGC) y los sistemas de gestin de la seguridad de la informacin (SGSI).

CAPITULO IIIMARCO METODOLOGICO

3. MARCO METODOLOGIC3.1 METODOLOGIA(S)La GESTION DEL PROYECTO comprende de las siguientes actividades, de la cual estn dentro de la iniciacin, planificacin, ejecucin y cierre.

1. INICIACION:Se encuentra la siguiente actividad:1.1 ACTIVIDAD 1: Elaborar el acta de constitucin del proyecto.

2. PLANIFICACION DEL PROYECTOSe encuentra las siguientes actividades:2 2.1 Elaborar el acta del proyecto.2.2 Aprobacin del alcance del proyecto.2.3 Identificar entregables segn el proyecto.2.4 Estructurar el cronograma del proyecto.2.5 Identificar responsables del proyecto/ elaborar cronograma.2.6 Analizar costo beneficio.2.7 Identificar riesgos que afectan al proyecto.

3. EJECUCION DEL PROYECTOSe encuentra las siguientes actividades:3 3.1 Estructurar propuesta de poltica del SGSI.3.2 Elaborar despliegue de poltica.3.3 Elaborar manual del SGSI.3.4 Anlisis y evaluacin de riesgos.3.5 Definir controles de implementacin3.6 Revisin de controles propuestos3.7 Definir plan de accin del tratamiento del riesgo.3.8 Estudio y seleccin de proveedores.3.9 Identificar documentos necesarios.3.10 Elaborar programa de capacitacin y concientizacin.3.11 Elaborar material de capacitacin y concientizacin.3.12 Coordinar fechas para la capacitacin y concientizacin.3.13 Ejecutar capacitacin y concientizacin al personal.3.14 Elaborar evaluacin de SGSI.3.15 Evaluar a los participantes de la capacitacin y concientizacin.3.16 Calificar evaluaciones.3.17 Presentar resultados de capacitacin y concientizacin a gerencia.3.18 Resultado y anlisis de indicadores.3.19 Presentar resultados finales a gerencia.

4. SEGUIMIENTO Y CONTROLSe encuentra las siguientes actividades:4 4.1 Registro de avances mensuales.4.2 Registro de cambios del proyecto.

5. CIERRESe encuentra la siguiente actividad:5 5.1 Elaborar el acta de cierre de proyecto.

3.2 HERRAMIENTA(S)

3.2.1 CICLO DE DEMINGLos resultados de la implementacin de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participacin del mercado y aumentando la rentabilidad de la empresa u organizacin.

3.2.2 ISO/IEC 27001:2005Est orientada a establecer un sistema gerencial que permita minimizar el riesgo y proteger la informacin en las empresas cliente, de amenazas externas o internas.

Es importante entender que la ISO se ha desarrollado como modelo para el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y mejora de un SGSI para cualquier clase de organizacin.

3.2.3 GESTION DE PROYECTOS PMBOKLa direccin de proyectos es la aplicacin de conocimientos, habilidades, herramientas y tcnicas a las actividades de un proyecto para satisfacer los requisitos del proyecto. La direccin de los proyectos se logra mediante la aplicacin e integracin de los procesos de direccin de proyectos de inicio, planificacin, ejecucin, seguimiento y control, y cierre. El director del proyecto es la persona responsable de alcanzar los objetivos del proyecto.La direccin de un proyecto incluye: Identificar los requisitos. Establecer unos objetivos claros y posibles de realizar Equilibrar las demandas concurrentes de calidad, alcance, tiempo y costes. Adaptar las especificaciones, los planes y el enfoque a las diversas inquietudes y expectativas de los diferentes interesados.

El equipo de direccin del proyecto tiene responsabilidad profesional ante sus interesados, incluidos los clientes, la empresa ejecutante y el pblico. Los miembros del PMI catan un Cdigo de tica y quienes tienen la certificacin profesional de la direccin de proyectos acatan un Cdigo de Conducta Profesional.

ESTRUCTURA DE LA GUIA DEL PMBOKLa Gua del PMBOK est dividida en tres secciones:

SECCION I: MARCO CONCEPTUAL DE LA DIRECCION DE PROYECTOSProporciona una estructura bsica para entender la direccin de proyectos.En el captulo 1 Introduccin- Define los trminos claves y proporciona una descripcin general del resto de la gua del PMBOK.En el captulo 2 Ciclo de vida del proyecto y organizacin- Describe el entorno en el cual operan los proyectos. El equipo de direccin de proyecto debe comprender este amplio contexto. SECCION II: NORMA PARA LA DIRECCION DE PROYECTOS DE UN PROYECTOEspecifica todos los procesos que usa el equipo de proyecto para gestionar dicho proyecto.

El captulo 3 Procesos de Direccin de Proyectos para un Proyecto- Describe los cincos procesos de direccin de proyectos aplicables a cualquier proyecto y los procesos de direccin de proyectos que componen tales grupos.

SECCION III: AREAS DE ONOCIMEINTO DE LA DIRECCION DE PROYECTOSOrganiza los 44 procesos de direccin de proyectos de los grupos de procesos de direccin de proyectos del captulo 3 en nueve reas de conocimiento.

El captulo 4 Gestin de la integracin del proyecto- Describe los procesos y actividades que forman parte de los diversos elementos de la direccin de proyectos, que se identifican, definen, combinan, unen y coordinan dentro de los grupos de procesos de direccin de proyectos.

El captulo 5 Gestin del alcance del proyecto- Describe los procesos necesarios para asegurarse de que el proyecto incluya todo el trabajo requerido para completar el proyecto satisfactoriamente.

El captulo 6 -Gestin del Tiempo del Proyecto- Describe los procesos relativos a la puntualidad en la conclusin del proyecto.

El captulo 7 -Gestin de los Costes del Proyecto-Describe los procesos involucrados en la planificacin, estimacin, presupuesto y control de costes de forma que aprobado.

El captulo 8 -Gestin de la Calidad del Proyecto- Describe los procesos necesarios para asegurarse de que el proyecto cumpla con los objetivos por los cuales ha sido emprendido.

El captulo 9 -Gestin de los Recursos Humanos del Proyecto- Describe los procesos que organizan y dirigen el equipo del proyecto.

El captulo 10 -Gestin de las Comunicaciones del Proyecto- Describe los procesos relacionados con la generacin, recogida, distribucin, almacenamiento y destino final de la informacin del proyecto en tiempo y forma.El captulo 11 -Gestin de los Riesgos del Proyecto- describe los procesos relacionados con el desarrollo de la gestin de riesgos de un proyecto.

El captulo 12 -Gestin de las Adquisiciones del Proyecto- Describe los procesos para comprar o adquirir productos, servicios o resultados, as como para contratar procesos de direccin.

CAPITULO IVGESTION DEL PROYECTO

4.1 CRONOGRAMANOMBRE DE LA ACTIVIDADDURACIONINICIOFIN

DISEO E IMPLEMENTACION DE UN SISTEMA DE GETION DE SEGURIDAD DE INFORMACION EN COMPUTACION, COMUNICACIN Y REDES97 dias.Lun 03/08/15Mar 15/12/15

GESTION DEL PROYECTO97 dias.Lun 03/08/15Mar 15/12/15

1. INICIACION1 daLun 03/08/15Lun 03/08/15

1.1 Elaborar el acta de constitucin del proyecto1 daLun 03/08/15Lun 03/08/15

2. PLANIFICACION DEL PROYECTO7 dias.Mar 04/08/15Mie 12/08/15

2.1 Elaborar el acta del proyecto.1 da.Mar 04/08/15Mar 04/08/15

2.2 Aprobacin del alcance del proyecto.2 dias.Mie 05/08/15Jue 06/08/15

2.3 Identificar entregables segn el proyecto.1 da.Vie 07/08/15Vie 07/08/15

2.4 Estructurar el cronograma del proyecto.1 da .Lun 10/08/15Lun 10/08/15

2.5 Identificar responsables del proyecto/ elaborar cronograma.1 da .Mar 11/08/15Mar 11/08/15

2.6 Analizar costo beneficio.1 da .Mie 12/08/15Mie 12/08/15

2.7 Identificar riesgos que afectan al proyecto.1 da .Mie 12/08/15Mie 12/08/15

3. EJECUCION DEL PROYECTO89 dias.Jue 13/08/15Mar 15/12/15

3.1 Estructurar propuesta de poltica del SGSI.2 dias.Jue 13/08/15Vie 14/08/15

3.2 Elaborar despliegue de poltica.3 dias.Lun 17/08/15Mie 19/08/15

3.3 Elaborar manual del SGSI.1 da.Jue 20/08/15Jue 20/08/15

3.4 Anlisis y evaluacin de riesgos.30 dias.Vie 21/08/15Jue 01/10/15

3.5 Definir controles de implementacin.11 dias.Vie 02/10/15Vie 16/10/15

3.6 Revisin de controles propuestos.3 dias.Lun 19/10/15Mie 21/10/15

3.7 Definir plan de accin del tratamiento del riesgo.4 dias.Jue 22/10/15Mar 27/10/15

3.8 Estudio y seleccin de proveedores.4 dias.Mie 28/10/15Lun 02/11/15

3.9 Identificar documentos necesarios.4 dias.Mar 03/11/15Vie 06/11/15

3.10 Elaborar programa de capacitacin y concientizacin1 da.Lun 09/11/15Lun 09/11/15

3.11 Elaborar material de capacitacin y concientizacin.4 dias.Mar 10/11/15Vie 13/11/15

3.12 Coordinar fechas para la capacitacin y concientizacin.1 dias.Vie 27/11/15Vie 27/11/15

3.13 Ejecutar capacitacin y concientizacin al personal.6 dias.Lun 30/11/15Lun 07/12/15

3.14 Elaborar evaluacin de SGSI.6 dias.Lun 30/11/15Lun 07/12/15

3.15 Evaluar a los participantes de la capacitacin y concientizacin.6 dias.Lun 30/11/15Lun 07/12/15

3.16 Calificar evaluaciones.6 dias.Lun 30/11/15Lun 07/12/15

3.17 Presentar resultados de capacitacin y concientizacin a Gerencia.1 da.Mar 08/12/15Mar 08/12/15

3.18 Resultado y anlisis de indicadores.2 dias.Mie 09/12/15Jue 10/12/15

3.19 Presentar resultados finales a Gerencia.1 da.Mar 15/12/15Mar 15/12/15

4. SEGUIMIENTO Y CONTROL83 dias.Jue 13/08/15Lun 07/12/15

4.1 Registro de avances mensuales.83 dias.Jue 13/08/15Lun 07/12/15

4.2 Registro de cambios del proyecto.65 dias.Mar 08/09/15Lun 07/12/15

5. CIERRE1 da.Mar 15/12/15Mar 15/12/15

5.1 Elaborar el acta de cierre del proyecto.1 da.Mar 15/12/15Mar 15/12/15

4.2 PRESUPUESTOPRESUPUESTO DEL PROYECTO

CONCEPTOMONTO

Contratacin de consultores y personal para el desarrollo del SGSI165,000.00

Equipamiento22,000.00

Contratacin de empresa Auditora para la certificacin50,000.00

Reserva de contingencia50,000.00

Reserva de Gestin25,000.00

TOTAL S/.S/. 312,000.00

CONCLUSIONES El implementar una poltica de seguridad y que los colaboradores la conozcan e interioricen, es de gran utilidad cuando se requiere implementar cualquier sistema de gestin en una organizacin, ya que les da una visin clara de cmo sus labores cotidianas aportan para el mantenimiento y mejora de un sistema de gestin empresarial.

Desarrollando e implementando una buena metodologa para gestionar los riesgos y ejecutando los planes de tratamiento de riesgos planteados, se logra reducir a niveles aceptables gran porcentaje de riesgos que afecten a los activos de informacin.

Muchas veces las empresas crecen de manera desordenada, crecen con paradigmas equivocados, algunos quieren documentar todo lo que se pueda, otras creen que documentar los procesos es una prdida de tiempo. De lo anterior se concluye que la documentacin de los procesos es una herramienta poderosa para el mantenimiento y mejora de cualquier sistema de gestin organizacional.

GLOSARIO DE TERMINOS BASE DE DATOS: Es un almacn que nos permite guardar grandes cantidades de informacin de forma organizada para que luego podamos encontrar y utilizar fcilmente. CIRCULO DE DEMING: El ciclo de Deming, tambin conocido como crculo de los vicios, es un mtodo de mejora continua de la calidad en la administracin de una organizacin. CONFIDENCIALIDAD: Es la garanta de que la informacin personal ser protegida para que no sea divulgada sin consentimiento de la persona. Dicha garanta se lleva a cabo por medio de un grupo de reglas que limitan el acceso a sta informacin. CONTRASEA: Cdigo secreto que se introduce en una mquina para poder accionar un mecanismo o para acceder a ciertas funciones informticas. DISPONIBILIDAD: La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. ESRTRUCTURA ORGANIZACIONAL: Es el marco en el que se desenvuelve la organizacin, de acuerdo con el cual las tareas son divididas, agrupadas, coordinadas y controladas, para el logro de objetivos. HARDWARE: Conjunto de elementos fsicos o materiales que constituyen una computadora o un sistema informtico. INTEGRIDAD: Para la seguridad de la informacin, es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. IMPLEMENTACIN: Es la instalacin de una aplicacin informtica, realizacin o la ejecucin de un plan, idea, modelo cientfico, diseo, especificacin, estndar, algoritmo o poltica. ISO: Es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin (tanto de productos como de servicios), comercio y comunicacin para todas las ramas industriales. LOGIN: es el proceso mediante el cual se controla elaccesoindividual a unsistema informticomediante la identificacin delusuarioutilizandocredencialesprovistas por el usuario. ROUTERS: Es un dispositivo que proporciona conectividad anivel de redo nivel tres en elmodelo OSI. SEGURIDAD DE LA INFORMACION: Es decir, son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI): Herramienta de gestin o un conjunto de responsabilidades, procesos, procedimientos y recursos que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la informacin. SISTEMAS OPERATIVOS: Es unprogramao conjunto de programas de un sistema informtico que gestiona los recursos dehardwarey provee servicios a losprogramas de aplicacin, ejecutndose en modo privilegiado respecto de los restantes. SOFTWARE: Equipo lgico osoporte lgicode unsistema informtico, que comprende el conjunto de los componenteslgicos necesarios que hacen posible la realizacin de tareas especficas, en contraposicin a los componentesfsicosque son llamadoshardware. SUPLANTACION DE IDENTIDAD: Trminoinformticoque denomina un modelo de abuso informtico y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta. VIRUS: Malwareque tiene por objetivo alterar el normal funcionamiento delordenador, sin el permiso o el conocimiento del usuario.

BIBLIOGRAFIA CORPAC S.A.Polticas de seguridad de la informacin en Corpac S.A.Disponible en:http://www.corpac.gob.pe/Docs/Transparencia/OyM/DocNormativos/Politicas/Politica_Seguridad_Informacion_CORPAC_(GG-627-2013_27-12-2013).pdf

ISOTOOLS EXCELLENCELA NORMA ISO 27001 Y LA IMPORTANCIA DE LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN.Disponible en:https://www.isotools.org/pdfs/Monografico-ISO-27001-ISOTools.pdf

TESIS DE DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION. Tesis para optar el Ttulo de Ingeniero Informtico, que presenta el bachiller: David Arturo Aguirre Mollehuanca.

TESIS DE DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION PARA UNA CENTRAL PRIVADA DE INFORMACIN DE RIESGOS.__________________________________________________________________25


Investigacion y Estadistica en Ingenieria

vicerrectorado de investigacion facultad de ingenieria pesquera y

Ingenieria Civil Modelo de Trabajo de Investigacion

Formato Para Cartel Foro de Investigacion Ingenieria (2)

Ingenieria en Sistemas

Ingenieria De Sistemas Trabajo

Metodologia de La Investigacion en Ingenieria 2011

La etica en la investigacion e ingenieria

Etica en la ingenieria e investigacion

Investigacion de Ingenieria Economica

Universidad del Sinú, Extensión Bogotá · INGENIERIA INDUSTRIAL INGENIERIA INDUSTRIAL INGENIERIA DE SISTEMAS INGENIERIA DE SISTEMAS PSICOLOGIA PSICOLOGIA ... Campus Elias Bechara

Taller de Investigacion Formativa Carrera de Ingenieria en Sistemas

INVESTIGACION E INNOVACION EN INGENIERIA EN COLOMBIA

METODOLOGIA DE LA INVESTIGACION Ing. Cruces Hernández Guerra UNIVERSIDAD ALAS PERUANAS INGENIERIA DE SISTEMAS

Investigacion en Ingenieria

INVESTIGACION OPERATIVA I FACULTAD DE INGENIERIA DE

Cuadernillo Fundamentos de Investigacion Para Ingenieria

Investigacion Sistemas Operativos

Sistemas de Ingenieria

Sistemas Ingenieria

INGENIERIA INFORMATICA Y SISTEMAS

TEORIA GENERAL DE SISTEMAS INGENIERIA SISTEMAS. SISTEMAS SUAVES

Clasificacion Investigacion -INGENIERIA CIVIL

Ingenieria de sistemas

Metodologia de La Investigacion Aplicada a La Ingenieria

INVESTIGACION DE PRINCIPIO DE LA INGENIERIA DEL SOFTWARE.docx

Sampieri Investigacion en Ingenieria

INGENIERIA EN SISTEMAS COMPUTACIONALES

Metodologias de investigacion Ingenieria de software