UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación"

Transcripción

1 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL BARQUISIMETO,MARZO.007

2 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL Trabajodegradopresentadocomorequisitoparcialparaoptar algradodemagísterscientiarumencienciasdelacomputación AUTOR: LCDO.MUJICAR.MANUELA. TUTOR: PROF.POLANCOR.WILLIAMR. BARQUISIMETO,MARZO.007

3 APROBACIONDELTUTOR EnmicarácterdeTutordeltrabajodegradopresentadoporelLicenciadoManuel AntonioMujicaRuiz,paraoptaralGradode MagísterScientiarumenCienciasdela Computación,Mención RedesdeComputadoras,consideroquedichoTrabajoreúnelos requisitosyméritossuficientesparasersometidoalapresentaciónpúblicayevaluaciónpor partedeljuradoquesedesigne. EnlaCiudaddeBarquisimeto,alosveintiochodíasdelmesdefebrerodeldosmil siete. PROF.POLANCOWILLIAM

4 DEDICATORIA ADiosTodopoderoso,nuestroseñorJesúsporiluminarmeybrindarmesabiduría alolargodelainvestigaciónycarrera. Amiabuela(Q.P.D.),quienmeformoenlosprimerosañosdemivida. Amimadre,porsumotivaciónyamorparaellogrodeestameta. Amiesposa,porsuapoyoincondicionalycomprensión. A Maria, Lorena, Sofia, Genesis y Manuela para que este esfuerzosirva de ejemplodesuperación. Amistíasquienessiempremehanimpulsadoallogrodemismetas. Atodasaquellaspersonasquedeunauotraformabrindaronanimoyfortaleza paraseguiradelanteenmidesarrolloprofesionalyquecontribuyeronparaculminar conéxitoestainvestigación. Graciasatodosymiespecialagradecimiento, iv

5 AGRADECIMIENTO AlaUniversidadCentroccidentalLisandroAlvarado(UCLA)porpermitirme adquirirvaliososconocimientos,queservirándemuchoeneldesempeñolaboral. AlIngenieroWilliamPolanco,porsuvaliosaorientaciónydedicaciónpara desarrollaryllegarafeliztérminolainvestigación. AlosdirectivosdelaUniversidadNacionalExperimentalPolitécnicaAntonio JosédeSucre(UNEXPO), porsuapoyoycolaboraciónincondicionalparallevara cabolapresenteinvestigación. AlosprofesoresEuvisPiña,GlennysClemantyArsenioPérezporbrindarmesu colaboraciónyorientacióneneldesarrollodeltrabajodegradoyalolargodela carrera. Atodosmissincerosagradecimientos, v

6 INDICEGENERAL pp. DEDICATORIA......iv AGRADECIMIENTO......v LISTADECUADROS......ix LISTADEGRAFICOS......xi RESUMEN......xii ABSTRACT......xiii INTRODUCCION CAPITULO IELPROBLEMA PlanteamientodelProblema...3 ObjetivosdelaInvestigación ObjetivoGeneral ObjetivosEspecíficos JustificacióneImportancia AlcancesyLimitaciones IIMARCOTEORICO AntecedentesdelaInvestigación...0 BasesTeóricas Historia Seguridad EstándaresdeSeguridad NormaISO/IEC 700: NormaISO/IEC 7799: PolíticasDeSeguridad PlandeSeguridad Administracióndelriesgo...7 AnálisisdelRiesgoylosRequerimientosdelISO700: BasesLegales EstándaresInternacionales LeyesNacionales NormativaInterna SistemadeVariables vi

7 pp. IIIMARCOMETODOLOGICO NaturalezadelaInvestigación...39 DiseñodeInvestigación FaseI:Diagnóstico PoblaciónyMuestra TécnicaseInstrumentosdeRecoleccióndeDatos...4 ValidezdelInstrumento ConfiabilidaddelInstrumento...43 TécnicasdeAnálisisdelosDatos...44 FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...46 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...46 IVPROPUESTADELESTUDIO FaseI:Diagnóstico Validezyconfiabilidaddelosinstrumentos...48 TécnicadeAnálisisyPresentacióndelosResultados...48 ResultadosdelaEntrevista...49 Resultadosdelcuestionario Observacióndirecta FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...75 VEJECUCIONYEVALUACIÓNDELAPROPUESTA...5 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...5 vii

8 CAPITULOpp. VICONCLUSIONESYRECOMENDACIONES...30 Conclusiones Recomendaciones BIBLIOGRAFÍA ANEXOS... A TablaA. ObjetivosdecontrolycontrolesdelaNormaISO/IEC 700: B GanttdelPlandeSeguridadInformática... C Entrevista... D Cuestionario... E ValidacióndeInstrumentosdeRecoleccióndeDatos... F ConfiabilidaddelInstrumento... G ResúmenesdeCasos... H Tabladefrecuencia... I Documentacióndeseguridadexistente... J InventariodeHardware... K InventariodeServicios... L Memoriafotográfica... M Perfilesusuarios... N HerramientasdeRastreo,evaluaciónyrupturadecontraseñas... O Comparacióncualitativa... P Directricesparalaauditoría... Q ImplementacionesenseguridadUNEXPO... R CurrículumVítaedelAutor... viii

9 LISTADECUADROS CUADRO pp. Evolucióndelanormativa... 0 Futurodelanormativa... DescripcióndelModeloPDCAaplicadoalosprocesosSGSI... 3 Vulnerabilidadesdivulgadas OperacionalizacióndelasVariables DescripcióndelaPoblación... 4 CriteriosdeConfiabilidad MatrizdeRegistrodelaentrevista CertificacióndeSeguridadInformática ConocimientosdeSeguridadInformática DocumentodeSeguridadInformática Propiedaddelainformación ProgramasdesensibilizaciónenSeguridadInformática PolíticasdeSeguridadInformática Plandecontinuidaddeoperaciones Planderecuperaciónantedesastres Evaluaciónderiesgos... 6 Riesgodevirus... 6 Objetivosdecontrolycontroles GarantíaFuncionalFaseI... 7 NormalizacióndePlataformaenlasEstacionesdeTrabajo... 7 Rediseño y Actualización de la Infraestructura de Red del Rectorado Resumendeproyectos DiseñodelPlandeSeguridadInformática InventariodeActivos... TasacióndeActivos... Realizacióndelanálisisyevaluacióndelriesgo... Enunciadodeaplicabilidad... 4 ImplantaciónyOperación... 5 Implantacióndeloscontroles... 9 Evaluacióndelplandeseguridad... 0 EnumerardetallesdecontactosUnexpo... 3 ix

10 CUADRO NICUnexpo... DNSUnexpo... TablaleyendaDNS... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... x pp

11 LISTADEGRAFICOS GRAFICO pp. EstructuraOrganizativaOficinaCentraldeTecnologíayServicios deinformación... Modelo PDCA aplicado a los procesos SGSI. ISO/IEC 700: Procesodeevaluaciónderiesgo... FormulaCoeficienteAlphadeCronbach... CertificacióndeSeguridadInformática... ConocimientosdeSeguridadInformática... DocumentodeSeguridadInformática... Propiedaddelainformación... ProgramasdesensibilizaciónenSeguridadInformática... PolíticasdeSeguridadInformática... Plandecontinuidaddeoperaciones... Planderecuperaciónantedesastres... Evaluaciónderiesgos... Riesgodevirus... Metodologíadelaselipses.CasoSistemaAdministrativoIntegrado SAI... Diagramadeflujoparalaevaluacióndelaseguridadenredes... EnumerardetallesdecontactosUnexpo... DNSactivosUnexpo... EstadoDNSUnexpo... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... xi

12 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALA UNIVERSIDADNACIONALEXPERIMENTALPOLITECNICA ANTONIO JOSEDESUCRE SEDERECTORAL AUTOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO FECHA:MARZO.007 RESUMEN El presente trabajo de investigación se basó en diseñar un Plan de Seguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.estomotivadoadiversosincidentesdeseguridadenlosservicios deinformaciónqueocurrierontalescomo:ataquesdedenegacióndeservicio(dos)al servidordns(domainnamesystem),presenciadecorreospam(correoelectrónico basura) de manera cotidiana, pérdida o eliminación involuntaria de información institucionalenlascomputadorasdeusuariosadministrativos,computadorasinfectadas de virus y troyanos, así como también la falta de un plan de seguridad de la información que lograse minimizar los riesgos ante las amenazas en las redes de computadoras.todoloanteriormenteexplicadosoportólapremisaderealizarunplan deseguridadinformáticaconelfindedarrespuestaaunaproblemáticarealyplantear una soluciónbasadaen estándaresdeseguridadinternacionales.laelaboracióndel estudioserealizómetodológicamenteatravésdelascuatrofasesfundamentalesenla formulacióndeunproyectofactiblecomoson:faseidiagnóstico;faseiifactibilidad; FaseIIIDiseñodelPlandeSeguridadInformáticayFaseIVEvaluacióndeldiseñodel PlandeSeguridadInformática.Paratodasellasse utilizaronanálisisestadísticosy técnicasderecolecciónyanálisisdela informacióndandocomoresultado mejoras consolidadasenlosaspectosdeseguridaddelainformacióndelsetentayunopor ciento (7%) y una posición estipulada promedio como buena en comparación cualitativaconrespectoalasotrasuniversidadestomadascomoreferencia. Descriptores: Plan de Seguridad Informática, Estándares de Seguridad, Redes de computadoras. xii

13 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DESIGNOFAPLANOFCOMPUTERSCIENCESECURITYFORTHE EXPERIMENTALNATIONALUNIVERSITYPOLYTECHNICAL ANTONIO JOSEOFSUCRE HOSTRECTORAL AUTHOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO DATES:MARZO.007 ABSTRACT Thepresentworkofinvestigationwasbasedondesigningaplanofcomputerscience security for the Experimental National University Polytechnical Antonio José de Sucre hostrectoral.thismotivatedtodiverseincidentsofsecurityintheinformation servicesthathappenedsuchas:attacksofrefusalonwatch(dos)toservantdns (DomainNameSystem),presenceofmailSpam(electronicmailsweepings)ofdaily way,lossorinvoluntaryeliminationofinstitutionalinformationinthecomputersof administrativeusers,infectedcomputersofvirusandtroyanos,aswellasthelackofa planofsecurityoftheinformationthatmanagedtodiminishtherisksbeforethethreats inthenetworksofcomputers.allpreviouslyexplaineditsupportedthepremiseto make a plan ofcomputer science security with the purpose of giving problematic answerarealoneandraisingasolutionbasedoninternationalstandardsofsecurity. Theelaborationofthestudywasmademethodologicallythroughthefourfundamental phasesintheformulationofafeasibleprojectastheyare:phaseidiagnosis;phaseii Feasibility;PhaseIIIDesignoftheplanofcomputersciencesecurityandPhaseIV Evaluationofdesigntheplanofcomputersciencesecurity.Forallofthemstatistical analysesandofharvestingandanalysesoftheinformationwereusedtechnicalgiving likeresultimprovementsconsolidatedintheaspectsofsecurityoftheinformationof theseventyandonepercent(7%)andonestipulatedpositionaveragelike good in qualitativecomparisonwithrespecttotheotheruniversitiestakenlikereference. Description:PlanofComputerscienceSecurity,StandardsofSecurity,Networksof computers. xiii

14 INTRODUCCION Elconceptodeseguridadeninformáticaespococonocidoeimpartidoalosfuturos profesionalesdelasáreastecnológicasenlasuniversidadestradicionalesdenuestropaís, hecho corroborable en los pensa de estudio; sin embargo, se detecta que esta área es neurálgicaunavezquesetienecontactoconlasorganizacionesenelcampolaboral,yaque estas toman muy en serio la confidencialidad, autenticación y disponibilidad de la informaciónmotivadoaqueellorepresentaelementosdeéxitoalaorganización. De acuerdo con el informe de PandaLabs (.006), un estudio realizado por una importanteempresadeseguridadinformáticaarrojóqueelveintiunoporciento(%)del correoelectrónicoquerecibenlasempresasesspam yqueelcincoporciento(5%)del tráficototaldelaredestáinfectadoporalgúntipodesoftwaremalicioso.losempleados utilizanelaccesoainternetconfinespersonalesalmenosunahorapordíaensustrabajos,lo cualsetradujoenpérdidasporlucrocesanteparalasempresasdemásdetrescientosochenta (380)millonesdedolaresduranteelaño.005.Además,sedescubrióqueelsesentayseis porciento(66%)delasvisitasapáginasconcontenidospornográficosseefectúandurantela jornadalaboral,nosóloprovocandopérdidassinoconsumiendoelanchodebanda. Enestesentido,elconstantecambiodecondicionesyplataformasparaelmanejode información,aunadoalaugedenuevastecnologíaseneláreadesistemasyredesconllevana unaminuciosarevisióndelossistemasdegerenciadeseguridaddelainformacióndelas empresasparatenerdirectricesclarassobreelámbitodeseguridad. EltrabajodeinvestigaciónsebasóendiseñarunPlandeSeguridadInformáticapara launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre sederectoral. Enestesentido,eltrabajo deinvestigaciónseestructuróenseis(6)capítulos: el CapítuloI,conformadoporelProblema,enelcualsedesarrollasuplanteamiento,objetivos delainvestigación,justificacióneimportancia. SPAM:sonmensajesnosolicitados,habitualmentedetipopublicitario,enviadosencantidadesmasivas.

15 El Capítulo II, denominado Marco Teórico, contentivo de los antecedentes de investigación,basesteóricas,baseslegalesysistemadevariables. El Capítulo III, Marco Metodológico, contiene la naturaleza y diseño de la investigaciónconladescripcióndelasfasesdelproyectofactible. El Capítulo IV, Propuesta del Estudio, presenta la fase I: Diagnóstico, fase II: FactibilidadylafaseIII:DiseñodelPlandeSeguridadInformática ElCapítuloV,EjecuciónyEvaluacióndelaPropuesta,seefectúalafaseIV. Por último el Capítulo VI, mostrará las conclusiones y recomendaciones de la investigación. Lasteoríasquesustentanlainvestigaciónsonlasdecienciasdelacomputaciónenla especialidad de redes de computadores y puntualmente en seguridad de la información, utilizando como modalidad metodológica la de proyecto factible. Con estas teorías se pretendesoportareldiseñodeunplandeseguridadinformáticaparalauniversidadnacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral,tomandocomoreferenciala normaiso/iec 700:005ylanormaISO/IEC 7799:005.

16

17 CAPITULOI ELPROBLEMA PlanteamientodelProblema Lamayoríadelaspersonasgastanmástiempoyenergíasen hablardelosproblemasqueenafrontarlos. HenryFord EnlasúltimasdosdécadasdelsigloXXyprimeradelXXI,sehanpropiciado cambioseneláreatecnológicaquehanimpulsadolaautomatizacióndelosprocesosde lasdistintasorganizaciones,siendounodeestoscambioselusomasivoderedesde computadorasparalatransmisióndevoz,vídeoydatos.lasredesdecomputadoras comoloexplicatanenbaum(.003), esunconjuntodecomputadorasautómatas interconectadas. Se dice que dos computadoras están interconectadas si pueden intercambiarinformación.elcrecimientodelasredesdecomputadorasesacelerado porunelementotecnológicoasociadoalosnuevostiemposcomoloeselinternet, entendiéndose como la interconexión de redes informáticas que permite a los ordenadores o computadoras conectadas comunicarse directamente, es decir, cada ordenadordelaredpuedeconectarseacualquierotro.tambiénseleconocecomola granredderedesolasúperautopistadelainformación. Paralograrlainterconexióndelasredesserequiriódeunmodeloquesirvierade marco de referencia. Este fue propuesto por la ISO (Internacional Standards Organization)enladécadadelos70 s,dándoleelnombredemodeloosi (Open SystemsInterconnection)elcualestábasadoensietecapas,definiendoparacadauna ISO: International Organization for Standarization (ISO), es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales,queproducenormasinternacionalesindustrialesycomerciales.http://www.iso.org/ 3

18 de ellas servicios, interfaces y protocolos a utilizar. Al respecto Bigelow (.003) explica elmodeloosidescribecómosedesplazalainformacióndeunaaplicación enunequipo,atravésdelared,alaaplicacióndeotroequipo estemodelo se consideraelprincipalmodelodearquitecturaparacomunicacionesyeselmarcodonde encajanlosestándaresexistentes. Otradelasinstitucionesquecolaboraconelámbitodenormalizacionesyestándares eslacomisiónelectrotécnicainternacional(iecporsussiglasinglesas).estaesuna organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas.numerosasnormassedesarrollanconjuntamenteconlaisoyporellose daelnombredenormasiso/iec. Comoconsecuenciadeestablecerunmodeloúnicodereferencia,elmodeloOSI, hapermitidoqueelprocesodecomunicarseatravésdelasredesdecomputadoras evolucione; sin embargo, éste proceso se ve amenazado constantemente por vulnerabilidadesqueaparecenreiteradamenteenlossistemasdeinformaciónytambién como consecuencia de inadecuadas políticas de seguridad o falta de éstas para el manejo de los servicios de información. El problema de seguridad repercute negativamenteenelámbitofinancieroeinclusoenlaimagenorganizacional,motivado aqueesteocasionapérdidadereputaciónyconfianza. LaAcademiaLatinoamericanadeSeguridadInformática(.004)destacaalrespecto que lainformacióneselobjetodemayorvalorparalasempresas.elprogresodela informática y de las redes de comunicación nos presenta un nuevo escenario. La seguridaddelainformaciónesunasuntotanimportante,puesafectadirectamentealos negociosdeunaempresaoindividuo. Porlotanto,larelevanciadetenerseguridaddeinformaciónenlasredesde computadorasesevidente.maiwald(005)explicaque laseguridaddelainformación sonlasmedidasadoptadasparaevitarelusonoautorizado,elmaluso,lamodificación odenegacióndelusodeconocimientos,hechos,datosocapacidades. Existenvariasnormasinternacionalesquebuscangarantizarlaseguridaddela información en las organizaciones. De ellas la que se ha tomado como punto de 4

19 referencia ha sido la norma ISO/IEC 700:005 titulada Sistemas de gestión de seguridaddelainformación Requerimientos.Estedocumentoestádestinadoaser utilizado como punto de partida en las organizaciones que deseen implementar seguridaddelainformaciónycuyoorigenestabasadoenlanormabritishstandards InstitutionBS7799,lacualfueusadahastamediadosdelaño.005comoelemento para certificar a las empresas sobre los estándares de seguridad. Este estándar internacional ha sido preparado con la finalidad de proporcionar un modelo para establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsistemade GestióndeSeguridaddelaInformación(SGSI). Además,lanormaISO/IEC 7799:005titulada Códigoparalaprácticadela gestióndelaseguridaddelainformación,estableceloslineamientosyprincipios generalesparainiciar,implementar,mantenerymejorarlagestióndelaseguridaddela información.estanormaescomplementodelaiso/iec 700:005 Enesteordendeideas,lasUniversidadesVenezolanascomoorganizacionesenlas cuales se prestan servicios de información han utilizado como parte de sus herramientastecnológicaslasredesdecomputadores.esevidentequeestasnoescapan delosproblemasdeseguridaddelainformaciónplanteadosconantelación,talycomo sehapodidocorroborarporobservacióndirectadelinvestigadorenlauniversidad ExperimentalPolitécnica AntonioJosédeSucre,endonde,hanocurridoincidentes deseguridadenlosserviciosdeinformacióntalescomo:ataquesdedenegaciónde servicioalservidordns(domainnamesystem),presenciadecorreospam(correo electrónico basura) de manera cotidiana, perdida o eliminación involuntaria de información institucional en los computadores de usuarios administrativos, computadoresinfectadosdevirus,troyanosylanoexistenciadeunplandeseguridad delainformaciónquelogreminimizarlosriesgosantelasamenazas. EstaUniversidadfuecreadael0defebrerode.979,medianteDecretoEjecutivo No , El área tecnológica es dirigida por la Oficina Central de Tecnología y Servicios de Información (OCTSI), creada el 04 de mayo de.005 en su sesión extraordinaria no. 005 E09 05 de Consejo Universitario de la UNEXPO, en 5

20 concordanciaconloslineamientosdetecnologíayserviciosdeinformación,aprobado el0dejuliodel.004segúnresolucióndeconsejouniversitariono.004 E4 06.A ellaperteneceelgrupodeseguridadycomosemuestraenelgráfico y cuyasfuncionesson:. Aplicar y velar por el cumplimiento de las medidas de seguridad en comunicaciones,serviciosdeinformaciónyplataformatecnológica.. Realizar,mantenerygarantizarlaintegridaddelainformaciónmanejada,a travésdeprocedimientosderespaldosydeseguridad. 3. Aplicar las medidas de seguridad establecidas para la operación y funcionamientodelosrecursostecnológicosydeinformacióndelainstitución. 4. Realizarelmonitoreocontinuodelaseguridad,enlaplataformatecnológicade lainstitución. 5. Llevarestadísticassobreintentosdeaccesonoautorizadosalosserviciosde informaciónylaredcorporativadedatosdelainstitución. 6. Implantarnormasyprocedimientosparalaasignacióndeprioridadesyrecursos requeridosparalapuestaenproduccióndeplanesdeseguridad. 7. Garantizarlaseguridadenelintercambiodeinformaciónentrelosusuariosy losserviciosdeinformaciónenproducción. 8. Realizarlasactividadesqueporsunaturalezacorrespondenaláreadesoportey mantenimientodelaseguridad. Gráfico.EstructuraOrganizativaOficinaCentraldeTecnologíayServiciosdeInformación. Fuente:ReglamentodeTecnologíayServiciosdeInformacióndelaUNEXPO(.005) 6

21 Por otra parte, se evidencia un orden jurídico Institucional como son los LineamientosdeTecnologíayServiciosdeInformaciónyelReglamentodeTecnología yserviciosdeinformacióndelaunexpo,ambosdecaráctermandatariosenrelación aquedebensercontempladolosaspectosdeseguridaddelainformacióndentrodela Universidad. Conesteescenarioplanteadoydecontinuarloshechosirregularespresentados dentrodelainstituciónenrelaciónaltratamientodelainformación,podríangenerarse responsabilidadeslegalesalpersonalencargadodemanteneryadministrarlatecnología yserviciodeinformacióndentrodelauniversidad. Porloantesexpuesto,seproponediseñarunPlandeSeguridadInformáticaparala UniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre sederectoral yparaello seestablececomoreferencialanormaiso/iec 700:005ylanorma ISO/IEC 7799:005. En este punto se hace indispensable analizar minuciosa y detalladamentelasrespuestasalassiguientesinterrogantes: Cómo está actualmente la seguridad informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre,enlasedeRectoral?. Cuál es la factibilidad de diseñar un Plan de Seguridad Informática para la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. QuécaracterísticasdebetenereldiseñodeunPlandeSeguridadInformáticaparala Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. CualseráelresultadodeevaluareldiseñodelPlandeSeguridadInformática?. Lasrespuestasaestasinterrogantespermitiránproponereldiseñodel Plande SeguridadInformáticaparalaUniversidadNacionalExperimentalPolitécnica Antonio JosédeSucre sederectoral,tomandocomoreferencialanormaiso/iec 700:005 ylanormaiso/iec 7799:005. 7

22 ObjetivosdelaInvestigación ObjetivoGeneral Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. ObjetivosEspecíficos Diagnosticarlasituaciónactualenlaqueseencuentralaseguridadinformáticaen launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre.sede Rectoral. Determinarlafactibilidadoperativa,técnicayeconómicade diseñarunplande Seguridad Informática para la Universidad Nacional Experimental Politécnica AntonioJosédeSucre sederectoral. Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. EvaluareldiseñodelPlandeSeguridadInformáticaparalaUniversidadNacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. JustificacióneImportancia Eldesarrollodelacienciadelacomputaciónsehavistoafectadafavorablemente dadolossignificativosavancesdelosúltimostreinta(30)añosenelámbitodelas telecomunicacionesusandolosmedioselectrónicosinformáticoscomoelinternety las redes de comunicaciones como forma de masificación de información. Esta masificación ha obligado a los administradores de redes de computadores a incorporarseenlaluchaporofrecerseguridaddelainformaciónenlosentornosque administran.lainformaciónqueviajaatravésdelasredesessusceptibleaservista, 8

23 generadaoalteradaporterceros.deallílanecesidaddeofrecerseguridadentodoslos nivelesdeinformacióndelasorganizaciones. En este sentido, las universidades como organizaciones de servicios deben incorporarsedentrodelosestándaresqueinvolucrenseguridadenlainformación.las leyes venezolanas brindan un marco legal donde la información tiene un papel preponderante y su tratamiento en lo relacionado a seguridad repercute sobre las responsabilidadesdelosqueadministranlatecnologíasyserviciosdedeinformación. LaUniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre como universidadpública,seencuentrainteresadaenbrindarseguridadalainformaciónque viajaatravésdesusredesdecomputadoresporloquesehasurgidolanecesidadde diseñarunplandeseguridadinformáticaparaellaensusederectoral. Coneldiseñopropuestoseesperaofrecerunasoluciónefectivaalosproblemasde seguridadenlauniversidadparabrindarconfiabilidad,confidencialidadynorepudio delainformaciónminimizandolosriesgos.tambiénaportarunaalternativa paralas otras universidades o instituciones con problemática similar. De igual manera, se esperaquelainvestigaciónsirvacomobaseparafuturasinvestigacionesenelárea. AlcancesyLimitaciones DentrodelosalcancesquesetieneeseldiseñodePlandeSeguridadInformática tomandocomoreferencialanormaiso/iec 700:005e ISO/IEC 7799:005, se realizaráparaelcasoparticularde lareddelauniversidadnacionalexperimental Politécnica AntonioJosédeSucre enlasederectoral. Encuantoalaslimitacionesesimportantetomarencuentaquelosaspectosque conforman la confidencialidad de la información son factor preponderante en el desarrollodelainvestigaciónyesporelloqueserealizalosllamadosrespectivosenlos casosdondeaplique.lainformaciónmostradadelainstituciónesreferencialysolo paralosefectosacadémicosrespectivos. 9

24 CAPITULOII MARCOTEORICO. AntecedentesdelaInvestigación Losqueseenamorandelaprácticasinlateoríasoncomolos pilotossintimónnibrújula,quenuncapodránsaberadónde van. LeonardoDaVinci Todoestudiorequiere,larevisióndelaliteraturaexistentesobretemasrelacionados coneltrabajoqueseelabora,porloquesehacenecesarialaconsultadeestudios realizados con el mismo. En el presente capítulo se citan investigaciones que han contribuidoagenerarantecedentesalapropuestade diseñarunplandeseguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.entrelostrabajospresentadossedestacanlossiguientes: Murillo(.00) ensutrabajo DiseñoyAplicacióndeunSistemaIntegralde SeguridadInformáticaparala UniversidaddelasAméricas(UDLA),tienecomo objetivo general de proyecto diseñar y aplicar un esquema integral de seguridad informáticabasadoenun estudio de metodologíasdeseguridadpara satisfacer los requerimientosusuario infraestructura administradordelareddelaudla.alo largodelainvestigaciónsepresentanlosaspectosrelevantesdelateoríadeseguridad informática aplicada a las necesidades de la red UDLA, conceptos básicos de la seguridadinformática,lasituaciónactualdelaudla.tambiéncomprendeunanálisis delestadodelarteenlaseguridadinformáticaylospuntosmásrelevantessobrela seguridadenelsistemaoperativounix.exponenlosconceptosmásrelevantessobre criptología,firewallsyherramientasexistentesdescribiendolasíntesisdeestetrabajo: porunlado,elhacker sworkbenchcomoesquemadedeteccióndevulnerabilidades 0

25 de la red UDLA y por otro, el Administrator s work bench como esquema de prevencióndeataques.seexplicanlaspartesqueconformanelesquemadeseguridad propuesto,suimplantación,susobjetivos,ylasnecesidadesquecubren presentando losresultadosobtenidoseneltrabajo,elestadoactualdelossistemasdesarrollados,los beneficiosprobadosenunaredlocalyenlaredudla.comoconclusióncorroborala necesidaddeincluirunáreaexclusivamentealmonitoreoycontroldelaseguridad informáticaencualquierreddecómputo.porotrolado,laspolíticasyprocedimientos establecidosnosonreflejadosmotivadoasucarácterdeconfidencialidadyporúltimo, seevidencialaexistenciademúltiplesherramientasgratuitasparaimplantarseguridad enlasredesdecomputo. Larelaciónquepresentaestetrabajoalapropuestaqueseestápresentandosebasa en el diseño y aplicación de un esquema integral de seguridad informática considerandoporunladounestudiodemetodologíasdeseguridadparasatisfacerlos requerimientosusuario infraestructura administrador,yporelotroelusodelos conceptos más relevantes sobre criptología, firewalls y herramientas existentes, así comoelhacker sworkbenchcomoesquemadedeteccióndevulnerabilidadesderedy eladministrator sworkbenchcomoesquemadeprevencióndeataques. CeriniyPrá(.00)desarrollaronunaauditoríadeseguridadinformáticayun análisisderiesgosenunaempresadeventadeautomotorestitulado Plandeseguridad informática,conelfindeelevarlaconsistenciadelossistemasdeinformaciónyde control, la eficiencia y efectividad de los programas y el cumplimiento de los reglamentosynormasprescritas.lametodologíaempleadafueladeinvestigaciónde campo dando como resultado las debilidades encontradas y recomendaciones que contribuyenamejorarsuniveldeseguridad.estosellevóacabocomomedioparael desarrollodeunplandeseguridadinformática,dondesedefinieronloslineamientosde laplaneación,eldiseñoeimplantacióndeunmodelodeseguridadconelobjetivode establecerunaculturadeseguridadenlaorganización. Elpropósitodeestablecerunplanesprotegerlainformaciónylosactivosdela organización,tratandodeconseguirconfidencialidad,integridadydisponibilidaddelos

26 datos; ylasresponsabilidadesquedeben asumircadaunode losempleadosde la organización,hechorelevanteparaeldesarrollodelapresenteinvestigación,yaque aporta una metodología de referencia para realizar un plan de seguridad de información. MelamedyRipepi (.00).desarrollaronun diseñoeimplantacióndeuna arquitecturaintegradadeprotecciónparalaplataformadecorreoelectrónicoenuna empresa de telecomunicaciones incluyendo tanto la intranet como extranet. El proyectoconsistióendiseñareimplantarunaarquitecturaintegradadeprotecciónpara el correo electrónico en la Corporación CANTV3. Con esta arquitectura se buscó reducirlasposiblesvulnerabilidadesdeseguridad.estetrabajoanalizalainformación manejada en la Corporación con el fin de diseñar políticas y procedimientos de seguridadparalosempleados,quepermitieronreforzarelesquemadeseguridaddela informaciónvíacorreoelectrónico.comoconclusiónselograeldiseñoeimplantación de procedimientos automáticos para la instalación de certificados digitales, y esto permiteelintercambiodeinformaciónseguradentrodelaplataformadecorreodela Corporación.Delmismomodo,seautomatizóelprocedimientodedistribucióndelas clavespúblicasyprivadas.conestaactividadsereduceaun00%laprobabilidadde ocurrenciadeerroreshumanosalmomentodeejecucióndeestetipodeactividadesy se garantiza el éxito en la implantación de la arquitectura de seguridad para la plataformadecorreoenformauniformeyacordealoslineamientosestablecidosenel trabajodegrado. EltrabajopresentadoporMelamedyRipepilograestablecerconceptosclarosy básicosparalosaspectosconcernientesalaseguridadinformática,asícomoeldiseño depolíticasyprocedimientosdeseguridadparalosempleados;hechorelevanteala horadeestablecerantecedentesdeinvestigacióneneláreaespecífica. DeSouza(.00)presentóenlaUniversidadFederaldeSantaCatarinaunaTesis titulada Gerenciadeseguridaddeinformaciónensistemasdeteletrabajo. Como 3 CANTV:Proveedordeaccesoainternet,serviciodeaccesovíadial upyconexionesdedicadascon adslyframerelay.http://www.cantv.net/

27 objetivodelagerenciadeseguridaddeinformación,realizóunarevisiónparaverificar comolasempresasbrasilerasestabanadministrandosusprogramasdeteletrabajocon relaciónaseguridaddeinformación.comobasetomófundamentosteórico empíricosy losresultadosdeinvestigaciones.lametodologíautilizadafueunmodelodeseguridad para garantizar la confidencialidad de la información en sistemas de teletrabajo, partiendodeuncontextodeaccesoremotoomodelodelineado,implementadoapartir delanormaiso/iec7799.losresultadosobtenidos,pormediodelaaplicacióndel modelo en una situación real, permitió validar la aplicación de la metodología propuestacomouninstrumentoefectivoparalagerencia. Larelacióndelapresenteinvestigaciónsecentraenlautilizacióndelanorma ISO/IEC7799paralograr unamejor seguridadde lainformaciónensistemas de teletrabajo.elusodeestanormaesantecedenteineludibledeestainvestigación. Hamana(.003)ensutrabajodegradotitulado Elementosbásicosparamodelos deseguridadenorganizacionesvenezolanas.realizaunanálisis conceptualsobre seguridadrespondiendolassiguientesinterrogantes: quéesseguridad?, cuálesson las amenazas y las herramientas con las que se cuenta?. Se enumeran los puntos necesarios para desarrollar un modelo base parala seguridad de las redes en una organización. Del análisis comparativo de la teoría, se logró extraer elementos indispensablesenlacomprensiónydesarrollodeltrabajo,quesirvencomopuntode apoyoparalaimplantacióndemodelospropios,dondelapartetécnicaseencargade evaluaryponerenfuncionamientotodoelequipamientoylogísticaparacumplircon loslineamientosdeseguridadquesonplanteadosdesdelaaltagerencia,acordeconla visióndelnegocio.lametodologíautilizadafueunestudiodeltipodescriptivono experimental.dentrodelaconclusionesobtenidassepuedeconsiderarqueelprimer pasoaseguirporunaempresaparaserseguraesidentificarlospuntosdébilesdesu red.larealizacióndetests, estudiosdetalladosdepuntosdeentradayanálisisde protocolosdeaplicacionespuedenformarpartedeestaetapa.apartirdelosresultados, informe en mano, se procede a evaluar qué áreas requieren mayor trabajo para garantizarquenoseránvulneradasporeventualesatacantes. 3

28 ElmodelodeseguridadparalaorganizaciónpropuestoporHamana,presentauna referenciaaseguirenlaexhaustivarevisiónbibliográficadeestainvestigación,como elementoqueayudeavislumbrarlasituacióndelasempresasenvenezuelaenloque conciernealaseguridadinformática. Endefinitivasepuededecir,quelostrabajosdeMurillo,Medina, Melamedy Ripepi exponenundiseñoyaplicabilidaddeesquemasintegralesdeseguridad,así comoconceptossólidosyrelevantesalahoradelainvestigación.hamana,desouza, CeriniyPrácontribuyenenlorelacionadoamodelos,políticas,lineamientosynormas utilizadasparalaimplementacióndeseguridadinformática. En este sentido, es evidente que las investigaciones señaladas guardan una estrecha relación con el objetivo general de este trabajo de grado, tanto en lo relacionadoconlaseguridaddelainformación,comoenlasnormativas,políticasy lineamientosnecesariosparaelresguardodelasmismas. BasesTeóricas Entrelosenfoquesteóricosquesustentanesteestudio,sehanconsideradolos supuestos de la Historia, Seguridad, Estándares de Seguridad, Norma ISO/IEC 700:005,NormaISO/IEC7799:005,PolíticasdeSeguridad,Administracióndel Riesgo,entreotras.Enesesentido,separtedeunenfoqueepistemológicosistémico, basado en una teoría que concibe la estructura como una concepción, que según Hurtado(.000), esaquelladondelarealidadesvistabajounaconcepciónsistemática, enlacuallaintegracióndeelementoscumplefuncionesyconfiguraestructuras. Historia Lahistoriadelaseguridadinformáticaseremontaalostiemposdelosprimeros documentosescritos.dehecho,lanecesidaddeinformaciónseguratuvosuorigenenel año.000antesdecristo.comoloexplica González(.003)losegipciosfueronlos primerosenutilizarjeroglíficosespecialesparacodificarlainformacióny,segúnpaso 4

29 eltiempo,lascivilizacionesdebabilonia,mesopotámiaygreciainventaronformasde protegersuinformaciónescrita.lacodificacióndelainformación,queeselbasedel cifrado,fueutilizadaporjuliocesar,ydurantetodalahistoriaenperíodosdeguerra, incluyendolasguerrascivilesyrevolucionarias,ylasdosguerrasmundiales.unade lasmáquinasdecodificaciónmejorconocidasfuelaalemanaenigma4,utilizadaporlos alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo,ygraciasalosesfuerzosdelproyectoultradelosestadosunidosdeamérica, entreotros,lacapacidaddedescifrarlosmensajesgeneradosporlosalemanesmarcó unéxitoimportanteparalosaliados. Enlosúltimosdiezaños,laimportanciadelaseguridadinformáticasehapuestode manifiestoporalgunashistorias.unadeellasfueladelgusanodeinternet,en.988, queseextendiópordecenasdemilesdecomputadores,comoresultadodelaobradeun hacker5llamadorobertmorris.habíaunpiratainformáticoen.995enalemaniaque seintrodujoencasi30sistemasapartirdeunobjetivoquesehabíapropuestoasí mismo de casi 500. Más recientemente, en febrero de.995, el arresto del pirata informáticomásbuscado,kevinnitnick,revelólasactividadescriminalesqueincluían el robo de códigos,deinformacióny de otrotipodedatossecretos duranteaños. Claramente,laampliautilizacióndelossistemasinformáticoshapuestoenevidenciala importancia de la seguridad informática. El objetivo principal de la seguridad informáticaesprotegerlosrecursosinformáticosdeldaño,laalteración,elroboyla pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listadosdeimpresorayengeneral,losdatos. 4 5 Enigma:Eraunamáquinaconmecanismodecifradorotativoutilizadotantoparacifradocomo paradescifrado,http://es.wikipedia.org/wiki/enigma_ Hacker:(delingléshack,hachar)eselneologismoutilizado parareferirseaunexperto(véase Gurú)envariasoalgunaramatécnicarelacionadaconlastecnologíasdelainformaciónylas telecomunicaciones: programación, redes de computadoras, sistemas operativos, hardware de red/voz,etc.http://es.wikipedia.org/wiki/hacker 5

30 Seguridad SegúnlaRealAcademiaEspañola(.006),lodefine...comoestadodeseguro; garantíaoconjuntodegarantíasquesedaaalguiensobreelcumplimientodealgo... Siseaplicaelconceptoanterioraseguridaddelainformación,sedebeampliarel conceptoindicandoqueesunacaracterísticadecualquiersistemaqueindiquequeeste últimoestálibredepeligro,dañooriesgo.seentiendecomopeligroodañotodo aquelloquepuedaafectarsufuncionamientodirectoolosresultadosqueseobtienen delmismo.paralamayoríadelosexpertoselconceptodeseguridadenlainformática esutópicoporquenoexisteunsistemacienporcientoseguro. SegúnGomez(.006)paraqueunsistemasepuedadefinircomosegurosedebe dotardecuatrocaracterísticasalmismo: Integridad: requiere que la información solo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creaciónyreactuacióndemensajestrasmitidos. Confidencialidad:requierequelainformaciónseaaccesibleúnicamenteporlas entidadesautorizadas. Disponibilidad: requiere que los elementos del sistema informático estén disponiblesparalasentidadesautorizadascuandolosnecesiten. Norepudio: ofreceprotecciónaunusuariofrenteaotrousuarioquenieguen posteriormentequeserealizóciertacomunicación.estaprotecciónseefectúa por medio de una colección de evidencias irrefutables que permitirán la resolucióndecualquierdisputa.elnorepudiodeorigenprotegealreceptorde queelemisornieguehaberenviadoelmensaje,mientrasqueelnorepudiode recepciónprotegealemisordequeelreceptornieguehaberrecibidoelmensaje. PorsuparteMaiwald(.005)ladefinecomo Medidasadoptadasparaevitareluso noautorizado,elmaluso,lamodificaciónoladenegacióndelusodeconocimiento, hechos,datosocapacidades.endefinitivalaseguridaddelainformacióneselnombre 6

31 dadoalospasospreventivosquesetomanparaprotegertantolainformacióncomosus capacidades. EstándaresdeSeguridad Enloquerespectaaestándaresdeseguridad,laUniversidadNacionaldeColombia y escert6 Universidad Politécnica Catalunya (.005) exponen que existen varios estándaresinternacionalesrelacionadosconseguridadinformáticaqueseconsideran importantesenlaactualidadoquedebenserreferenciadosporsuimportanciahistórica. Enestesentido,estánclasificadosenseis(6)clasesdeestándarescomoson:parala administración de seguridad de la información, para evaluación de seguridad en sistemas,paradesarrollodeaplicaciones,paraserviciosfinancieros,parariesgosypara autenticación. Paralaadministracióndeseguridaddelainformación: LaInternetEngineeringTaskForce(IETF7)elaboróelRFC896SiteSecurity Handbook, que ofrece una guía práctica para quienes intentan asegurar servicioseinformación. ElestándarbritánicoBS7799esunestándaraceptadoampliamentequehasido utilizado como base para elaborar otros estándares de seguridad de la información,incluyendoeliso7799yeliso700.fuedesarrolladoporel BritishStandardsInstitute. LaAgenciaFederalParaSeguridaddeInformaciónenAlemaniahageneradoel IT Baseline Protection Manual. Este documento presenta un conjunto de escert: Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas. IETF:InternetEngineeringTaskForce,encastellanoGrupodeTrabajoenIngenieríadeInternet. Esunaorganizacióninternacionalabiertadenormalización,quetienecomoobjetivoselcontribuir alaingenieríadeinternet,actuandoendiversasáreas,talescomotransporte.http://www.ietf.org/ RFC: Un documento Request For Comments (abreviado como RFC), que se traduce como "peticióndecomentarios",esundocumentocuyocontenidoesunapropuestaoficialparaunnuevo protocolodelaredinternet(originalmentedearpanet),queseexplicacontododetalleparaque encasodeseraceptadopuedaserimplementadosinambigüedades.http://www.rfc editor.org/ 7

32 métricasdeseguridadrecomendadasosafeguards,comosedenominanenel manual,parasistemasittípicos. La Organización para la cooperacióny el desarrollo económicos, en inglés (OECD9)creódirectricesparalaseguridaddesistemasyredesdeinformación. lascualespuedenserrevisadasenguidelinesforthesecurityofinformation Systems. Estándaresparaevaluacióndeseguridadensistemas: La International Organization for Standardization (ISO) ha elaborado el estándar IS Este estándar, The Common Criteria for Information TechnologySecurityEvaluationv.(ISOIS5408)esunamezclamejorada deitsec,elcanadiancriteria,yelusfederalcriteria. LaSerieArcoIris RainbowSeries (OrangeBook)(EE.UU.)Unaimportante seriededocumentoseslarainbowseries,quedelineavariosestándaresde seguridaddesarrolladosenlosestadosunidos. ElReinoUnidoelaboróelInformationTechnologySecurityEvaluationCriteria (ITSEC0) a comienzos de los años 90, y es otro estándar históricamente importante.fueelaborado,enalgunosaspectos,basándoseenelorangebook. Estándaresparadesarrollodeaplicaciones: ElSoftwareEngineeringInstitutelideróeldesarrollodelCapabilityMaturity Model(CMM),queesunmétodoparagarantizarmadurezenprocesos. UnderivadodelCMMeselSystemSecurityEngineeringCapabilityMaturity Model(SSE CMM). ElSSE CMMdescribelascaracterísticasesencialesdel procesodelaingenieríadelaseguridaddeunaorganizaciónquedebenexistir paraasegurarlabuenaingenieríadelaseguridad. Estándaresparaserviciosfinancieros: ISO 3:99 Banking and Related Financial Services; Sign on Authentication 9 0 OECD:OrganisationforEconomicCo operationanddevelopment. ITSEC:InformationTechnologySecurityEvaluationCriteria.http://en.wikipedia.org/wiki/ITSEC 8

33 ISO 3569:997 Banking and Related Financial Services Information SecurityGuidelines Estándaresparariesgo: AcquisitionRiskManagement(EE.UU.)ElSoftwareEngineeringInstitutetiene algunosdocumentossobreacquisitionriskmanagement. Estándaresparaautenticación: ISO 3:99 Banking and Related Financial Services; Sign on Authentication Debidoalanecesidaddeestablecerseguridadenlainformaciónqueposeenlas organizacioneseraprecisolaexistenciadealgunanormativaoestándarqueenglobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla.anteestadisyuntivaaparecióelbs7799,oestándarparalagestióndela seguridaddelainformación,unestándardesarrolladoporelbritishstandardinstitute en.999enelqueseenglobantodoslosaspectosrelacionadosconlagestióndela seguridaddelainformacióndentrodelaorganización.estanormativabritánicageneró enlaactualiso/iec700:005ylaiso/iec7799:005. LaISO/IEC700:005ylaISO/IEC7799:005consideranalaorganización comounatotalidadytienenenconsideracióntodoslosaspectosquesepuedenver afectadosantelosposiblesincidenteshaproducirse.estasnormaspretendenaportarlas basesparatenerenconsideracióntodosycadaunodelosaspectosquepuedesuponer unincidenteenlasactividadesdenegociodelaorganización. Estanormaesaplicableacualquierempresa,seacualseaeltamaño,laactividadde negocio o el volumen del mismo. Esto es lo que se denomina el principio de proporcionalidaddelanorma;esdecir,quetodoslosaspectosqueaparecenen la normativadebensercontempladosytenidosencuentaportodaslasorganizacionesala horadeprotegersusactivos,yladiferenciaradicaráenqueunagranorganización tendráqueutilizarmásrecursosparaprotegeractivossimilaresalosquepuedeposeer una pequeña organización. De la misma forma, dos organizaciones que tengan 9

34 actividadesdenegociomuydiferentes,nodedicaránlosmismosesfuerzosaproteger losmismosactivosdeinformación. Enpocaspalabras,estanormadebetenersecomoguíadelosaspectosquedeben tenercontroladosynoquieredecirquetodoslosaspectosqueenellaaparecentienen queserimplementadosconlosúltimosavances.tododependerádelanaturalezadela propia organización. De la relevancia demostrada de la normativa de seguridad se muestraacontinuaciónelcuadroevolucióndelanormativa. Cuadro Evolucióndelanormativa. Año Norma 995 BS7799 : BS7799 : RevisiónBS7799 : ISO/IEC7799: RevisiónBS7799 : RevisiónISO/IEC7799: RevisiónBS7799 : ISO/IEC700:005(Normainternacionalcertificable) Nota:Autor(.006) ElconjuntodeestándaresqueaportaninformacióndelafamiliaISO 700x,quese debentenerencuentacomomarcoreferencialenmateriadeseguridadysemuestranen elcuadroacontinuación: 0

35 Cuadro Futurodelanormativa. Norma Descripción Añode publicación ISO7000 VocabularioyDefiniciones 007 ISO700 ISMS EstándarCertificable(revisedBS7799Part:005)Publicado 005 el5deoctubredel005 ISO700 CódigodeBuenasPrácticas,relevodeISO7799:005.Publicadoel 007 5dejuniodel005 ISO7003 GuíaparalaImplantación(bajodesarrollo) 008 ISO7004 MétricaseIndicadores(bajodesarrollo) 008 ISO7005 Gestión de Riesgos (BS :006) (basado e incorporado a 008 ISO/IEC3335MICTSPart)(bajodesarrollo) ISO7006 ContinuidaddeNegocio/RecuperaciónDesastres Nota:Autor(.006) 007 NormaISO/IEC 700:005 SegúnlaNorma:Elestándarinternacionalhasidopreparadoconlafinalidadde proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantenerymejorarunsistemadegestióndeseguridaddelainformación(sgsi).la adopcióndeunsgsidebeserunadecisiónestratégicaparaunaorganización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados, el tamañoyestructuradelaorganización.seesperaqueestosysussistemasdeapoyo cambien a lo largo del tiempo. Se espera quela implementación de un SGSI se extiendaenconcordanciaconlasnecesidadesdelaorganización;porejemplo,una situaciónsimplerequiereunasoluciónsgsisimple. Esteestándarinternacionalpromuevelaadopcióndeunenfoquedelprocesopara establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsgsideuna organización.laorganizaciónnecesitaidentificarymanejarmuchasactividadespara poder funcionar de manera efectiva. Cualquier actividad que usa recursos y es manejadaparapermitirlatransformacióndeinsumosenproductos,sepuedeconsiderar

36 unproceso.confrecuenciaelproductodeunprocesoformadirectamenteelinsumo delsiguienteproceso. Laaplicacióndeunsistemadeprocesosdentrodeunaorganización,juntoconla identificaciónylasinteraccionesdeestosprocesosysugestión,puedeconsiderarseun enfoquedelproceso. Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar internacional fomenta que sus usuarios enfaticen la importanciade: Entender los requerimientos de seguridad de la información de una organizaciónylanecesidaddeestablecerunapolíticayobjetivosparala seguridaddelainformación; Implementaryoperarcontrolesparamanejarlosriesgosdelaseguridadde lainformación; MonitorearyrevisareldesempeñoylaefectividaddelSGSI;y Mejoramientocontinúoenbasealamedicióndelobjetivo. ElestándarinternacionaladoptaelmodelodelprocesoPlanear Hacer Chequear Actuar(PDCA),elcualsepuedeaplicaratodoslosprocesosSGSI.ElGráficomuestra cómounsgsitomacomoinsumolosrequerimientosyexpectativasdelaseguridadde lainformacióndelaspartesinteresadasyatravésdelasaccionesyprocesosnecesarios produce resultados de seguridad de la información que satisfacen aquellos requerimientos yexpectativas.el Gráfico yel cuadro 3 también muestran los vínculosenlosprocesospresentadosenlascláusulas4,5,6,7y8delanormayla descripcióndelmodelorespectivamente. LaadopcióndelmodeloPDCAtambiénreflejarálosprincipiostalcomose establecenenloslineamientosoecd(.00)quegobiernanlossistemasyredesde seguridaddelainformación.esteestándarinternacionalproporcionaunmodelosólido paraimplementarlosprincipiosenaquelloslineamientosquegobiernanlaevaluación LineamientosOECDparaSistemasyRedesdeSeguridaddelaInformación HaciaunaCultura deseguridad.parís:oecd,julio00.www.oecd.org.

37 del riesgo, diseño e implementación de seguridad, gestión y re evaluación de la seguridad. Gráfico:ModeloPDCAaplicadoalosprocesosSGSI.ISO/IEC 700:005 Cuadro3 DescripcióndelModeloPDCAaplicadoalosprocesosSGSI Planear(establecer elsgsi) Hacer(implementar yoperarelsgsi) Chequear (monitoreary revisarelsgsi) Actuar(mantenery mejorarelsgsi) Establecerpolítica,objetivos,procesosyprocedimientosSGSIrelevantesparamanejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordanciaconlaspolíticasyobjetivosgeneralesdelaorganización. Implementaryoperarlapolítica,controles,procesosyprocedimientosSGSI. Evaluary,dondeseaaplicable,medireldesempeñodelprocesoencomparaciónconla política,objetivosyexperienciasprácticassgsiyreportarlosresultadosalagerencia parasurevisión. Tomaraccionescorrectivasypreventivas,basadasenlosresultadosdela auditoría interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramientocontinuodelsgsi. Nota:ISO/IEC 700:005 NormaISO/IEC 7799:005 Esteestándarinternacionalestableceloslineamientosyprincipiosgeneralespara iniciar,implementar,mantenerymejorarlagestióndelaseguridaddelainformación en una organización. Los objetivos delineados en este estándar internacional proporcionan un lineamiento sobre los objetivos de gestión de seguridad de la informacióngeneralmenteaceptados. 3

38 Losobjetivosdecontrolyloscontrolesdeesteestándarinternacionalsondiseñados paraserimplementadosysatisfacerlosrequerimientosidentificadosporunaevaluación delriesgo.esteestándarinternacionalpuedeservircomounlineamientoprácticopara desarrollarestándaresdeseguridadorganizacionalyprácticasdegestióndeseguridad efectivasyparaayudaraelaborarlaconfianzaenlasactividadesinter organizacionales. Este estándar contiene cláusulas de control de seguridad conteniendo colectivamente un total de 39 categorías de seguridad principales y una cláusula introductoriaquepresentalaevaluaciónytratamientodelriesgo. Lasoncecláusulasyelnúmerodecategoríasdeseguridadprincipalesincluidas dentrodecadacláusulason: a) PolíticadeSeguridad(); b) OrganizacióndelaSeguridaddelaInformación(); c) GestióndeActivos(); d) SeguridaddeRecursosHumanos(3); e) SeguridadFísicayAmbiental(); f) GestióndeComunicacionesyOperaciones(0); g) deacceso(7); h) Adquisición,DesarrolloyMantenimientodeSistemasdeInformación(6); i) GestióndeIncidentesdeSeguridaddelaInformación(); j) GestióndelaContinuidadComercial(); k) Conformidad(3). PolíticasdeSeguridad. Maiwald(.005),planteaque lapolíticadeseguridaddefinelosrequerimientos técnicosparalaseguridadensistemasdecómputoyelequipoderedes.definela maneraenqueunadministradorderedesosistemasdeberíaconfigurarunsistema respectoalaseguridad.estaconfiguracióntambiénafectaráalosusuarios,yalgunos delosrequerimientosestablecidosenlapolíticadeberíancomunicarsealacomunidad 4

39 deusuariosengeneral.laresponsabilidadprincipalparalaimplementacióndeesta políticarecaesobrelosadministradoresdelsistemaydelared,siempreconelrespaldo delaadministración. Laspolíticasproporcionanlasreglasquegobiernancómodeberíanserconfigurados los sistemas y como deberían actuar los empleados de una organización en circunstancias normales y cómo deberían reaccionar si se presentan circunstancias inusuales.propiamentedicho,lapolíticarealizadosfuncionesprincipales: Defineloquedeberíaserlaseguridaddentrodeunaorganización. Poneatodosenlamismasituación,demodoquetodoelmundoentiendaloque seesperadeellos. Haytresseccionesdecadapolíticaquesoncomunesyqueseexaminaráncomosigue: Propósito: cada política y procedimiento debería tener un propósito bien definido, que articule claramente por qué fueron creados tal política o procedimiento,yquebeneficioesperalaorganizaciónderivardelosmismos. Ámbito:Cadapolíticayprocedimientodeberíatenerunasecciónquedefinasu aplicabilidad.porejemplo,unapolíticadeseguridaddebeaplicarseatodoslos sistemasdecómputoyderedes.unapolíticadeinformaciónpuedeaplicarsea todoslosempleados. Responsabilidad: La sección de responsabilidad de una política o procedimiento define quién se hará responsable por la implementación apropiadadeldocumento.quienquieraqueseadesignadocomoelresponsable deaplicarunapolíticaoprocedimientodebesercapacitadodemaneraadecuada yestarconscientedelosrequerimientosdeldocumento. PlandeSeguridad Sanz(.006)explicaqueelplandeseguridadeslaherramientautilizadaporlas empresasparagarantizarlaseguridaddesussistemasyservicios.consisteenunaserie de normas, procedimientos y políticas que se implantan en la estructura de una 5

40 organización con el objetivo de detectar, corregir y prevenir todos los riesgos de seguridad,tantopresentescomofuturos. LaestructuradeunPlandeSeguridadsedivideenvariasfases: Identificacióndeelementosaproteger. Análisisyvaloracióndelosriesgospresentesyfuturos. Diseño de unas medidas de seguridad que eliminen o mitiguen dichos riesgos. Implantacióndedichasmedidasdeseguridad. Auditoríadelasmedidasimplementadas(repetidadeformaperiódica). Revisiónyactualizacióndelasmedidasimplantadas. Agrosomodo,unbuenPlandeSeguridaddeberíacontemplarlossiguientes aspectos: Política de gestión y administración de equipos, elementos de red y servicios;quecubralainstalación,configuraciónyusodiariosegurode todosloselementosqueconformanlared. Políticadeadministracióndeparchesyactualizaciones; quemantengalos equiposalniveldeactividadóptimoencuantoaseguridadyrendimiento. Procedimientosdetransmisiónseguradedatos;quegaranticenlaseguridad delascomunicacionesentrelaempresayclientesoproveedores. Normasde seguridadfísica; quepermitanrealizaruncontrol deacceso efectivo a las instalaciones en las que se encuentran los elementos que conformanlared. Procedimientosdegestiónyadministracióndeusuariosycontraseñas;que establezcan un control efectivo y robusto de los accesos y permisos existentesenelsistema. Políticade antivirus; que permita asegurarquelos contenidos ofrecidos estánlibresdevirus,troyanosycualquierotroelementoperniciosoparael usuario. 6

41 Política de gestión y almacenamiento de logs o registros; que permita realizarunseguimientodelosaccesosrealizadostantoalosservicioscomo alosrecursosdelaempresa. Política de copias de seguridad o backups; que permita, ante un fallo catastróficodelsistema,restaurarelmismoconlamenorpérdidadedatos posible. Procedimientos ante contingencias del sistema; que garanticen una actuaciónrápidayeficazantecualquierfallodelservicio. Procedimientos ante incidencias deseguridad del sistema; que permitan reaccionar,identificar,actuarycontrarrestarcualquiertipodeaccesono autorizadoalossistemasqueprestanelservicio. Procedimientosdeformaciónyconcienciacióndelpersonaldelaempresa; con el fin de garantizar el conocimiento de unas prácticas básicas de seguridad. EsimportantereseñarqueelPlandeSeguridadesunainiciativaqueafectaa todoslosestratosdeunsistema.segestayefectúadesdeeldepartamentodesistemas Informáticos,peronecesitaporunapartedelapoyodelaDirección(paraqueasignelos recursoseconómicosyhumanosnecesariosparasuejecución),yporotrapartede todoslosusuariosdelsistema,quedebenestarconcienciadosysensibilizadosacercade laimportanciadelaseguridadensusistema. Administracióndelriesgo DeacuerdoaMaiwald(.005)laseguridadseconsigueadministrandoelriesgo.Si noseentiendecualessonlosriesgosdeseguridadparalosactivosdeinformacióndela organización,puedenutilizarsedemasiadosoescasosrecursos,outilizarlosdemanera equivocada.laadministraciónderiesgostambiénproporcionaunabaseparaelavaluo delosactivosdeinformación.alidentificarlosriesgos,ustedpuedeidentificarelvalor 7

42 delostiposparticularesdeinformaciónyelvalordelossistemasquecontienenesa información. Elriesgoeselpotencialdeloquepuedeserperdidoyrequiereprotección.Elriesgo contienedoscomponentes:laamenazaylavulnerabilidad.deellosepuedeinferirque elriesgoesigualalasumadelasamenazasylasvulnerabilidades. Riesgo=vulnerabilidad+amenaza. Seentiendeporvulnerabilidadunavíadeataquepotencial.Lasvulnerabilidades puedenexistirenredesysistemasdecomputooenprocedimientosadministrativos. Unaamenazaesunaacciónoeventoquepuedeviolarlaseguridaddeunentornode sistemasdeinformación.existentrescomponentesdeamenaza: Objetivos:Elaspectodelaseguridadquepuedeseratacado. Agentes:Laspersonasuorganizacionesqueoriginalaamenaza. Eventos:Eltipodeacciónquerepresentalaamenaza. EnestesentidoCERT(ComputerEmergencyResponseTeam),equipoderespuesta deemergenciasaincidentesdeseguridadcreadopordarpa3 (DefenseAdvanced ResearchProjectsAgency)en.988,publicaensusitewebelcuadro4quemuestralas vulnerabilidadesreportadas,dandountotalde6.73. Cuadro4 Vulnerabilidadesdivulgadas Año Q Q,006 Vulnerabilidades 7 Nota:www.cert.org ,090,437 4,9 3,784 3,780 5,990 3,997 ElCERTtrabajaparafacilitarlasrespuestasaincidentesdeseguridadqueafectana Internet,conelobjetivodetomarlasmedidasoportunasdeprevención,ademásde investigarymejorarlaseguridaddelossistemasqueexisten. 3 CERT:EquipodeRespuestaaIncidentesdeSeguridadenCómputo.www.cert.org DARPA:LaAgenciadeInvestigacióndeProyectosAvanzadosdeDefensa.http://www.darpa.mil/ 8

43 Conlafinalidadderealizarunaadministracióndelriesgosedebeelaborarun análisisderiesgosytomarcomoreferenciaelestándar. AnálisisdelRiesgoylosRequerimientosdelISO700:005 Alexander(.006)expresa: ElISO700:005requierequelaorganización queestaplaneandoimplantarunsgsi,primerodefinaelalcancedelestándarenla empresa,yenbaseaesealcanceidentifiquetodoslosactivosdeinformación. Paraidentificarlosactivosdeinformaciónsepuedeutilizarlametodologíade las elipses, la cual una vez determinado el alcance se decide el proceso que se evaluará.conestosetratadevisualizarconmuchaprecisiónlosdistintossubprocesos quecomponenalalcance.estosedeterminaenlaelipseconcéntrica,elpasosiguiente sería determinar los usuarios y dueños de esos procesos, el segundo paso en la metodología,eseldeidentificarenlaelipseintermedialasdistintasinteraccionesde lossubprocesosdelaelipseconcéntrica,tienenconotrosprocesosdelaorganización. Seguidamente, también se deben identificar con la elipse concéntrica. La elipse externa,seidentificanaquellasorganizacionesextrínsecaalaempresaquetienencierto tipodeinteracciónconlossubprocesosidentificadosenlaelipseconcéntrica. Losactivosdeinformacióndebensertasadosparaidentificarsuimpactoenla organización.luegounanálisisdelriesgoesrequeridoparadeterminarqueactivos estánbajoriesgo. Sedebentomardecisionesenrelaciónaqueriesgoslaorganización aceptaráyquecontrolesseránimplantadosparamitigarelriesgo.alagerenciasele requierequereviseelsgsienlaorganizaciónaintervalosplanificadosparaasegurar suadecuaciónyeficacia.lagerenciaesexigidaquecontrolelosnivelesderiesgos aceptadosyelestadodelriesgoresidual(riesgoquequedadespuésdeltratamientodel riesgo).eliso700:005esunsistemadinámicoqueobligaalagerenciaestar constantemente revisando y definiendo controles, sus amenazas, vulnerabilidades e iniciaraccióncorrectivaypreventivacuandoseanecesario. 9

44 ProcesodeEvaluacióndelRiesgo Elprocesodeevaluacióndelriesgoquepermiteaunaorganizaciónestaren conformidadconlosrequerimientosdelestándarestapresentadaenelgráfico 3.El procesodelasseis(6)fasesayudaacualquierorganizaciónquedeseeestablecerun SGSI,enconcordanciaconlacláusula4..delestándar. Gráfico3:Procesodeevaluaciónderiesgo IdentificaciónyTasacióndeActivos: Unactivoesalgoquetienevaloro utilidadparalaorganización,susoperacionesysucontinuidad.losactivosnecesitan protecciónparaasegurarlascorrectasoperacionesdelnegocioylacontinuidaddela empresa. La gestión apropiada de los activos es vital para poder mantener una adecuadaproteccióndelosactivosdelaempresa. Cadaactivodebeestarclaramenteidentificadoyvaloradoapropiadamente,ysu propietario y clasificación de seguridad acordada en la organización. El ISO 7799:005 (Código de Práctica para la Gestión de la Seguridad de Información) clasificalosactivosdelasiguientemanera:()activosdeinformación:basesdedatos yarchivosdedatos,documentacióndelsistema,manualesdeusuario,materialesde entrenamiento, procedimientos operativos de apoyo, planes de continuidad; () Documentos impresos: contratos, lineamientos, documentos de la compañía, documentosquecontienenresultadosimportantesdelnegocio;(3)activosdesoftware: Softwaredeaplicación,softwaredesistemas,herramientasdedesarrollo;(4)Activos 30

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO SISTEMATIZACION DE LA GESTION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

INSTITUTO POLITÉCNICO NACIONAL

INSTITUTO POLITÉCNICO NACIONAL INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN REVISIÓN DE NORMAS Y ESTÁNDARES DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA CODIGO: 233003 CODIGO SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Tendencias en la gestión de la seguridad de la información

Tendencias en la gestión de la seguridad de la información Tendencias en la gestión de la seguridad de la información Seguridad de Tecnología de Información en las empresas La tecnología de información (TI) ha venido reformando los procesos administrativos en

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS. SILABO

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS. SILABO UNIVERSIDAD NACIONAL FEDERICO VILLARREAL FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS. SILABO ASIGNATURA: SEGURIDAD EN COMPUTACION E INFORMATICA I. DATOS GENERALES CÓDIGO: 8B0066 1.0 Escuela Profesional

Más detalles

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas TÍTULO Planeación y Diseño de un

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO 27001, PARA LA INTRANET DE LA CORPORACIÓN

Más detalles

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Objetivos: Aportar al alumno/a de forma eficaz todos aquellos conocimientos, habilidades y competencias que

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

La norma ISO 27001 del Sistema de Gestión de la

La norma ISO 27001 del Sistema de Gestión de la La norma ISO 27001 del Sistema de Gestión de la Garantía de confidencialidad, integridad y Carlos Manuel Fernández Coordinador de TIC de AENOR Introducción La información es como el aparato circulatorio

Más detalles

"Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1

Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1 !! "Metodolog#a de Comprobaci$n ISO 17.799% & ' () *+,-.-/0 12( 12(1 (3 Página 1 Proposición Desarrollar una metodología que se utilice para identificar cuales son las diferencias existentes en una empresa

Más detalles

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010 Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN TU ASEGURAS LO QUE QUIERES DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTANDAR ISO 27001 Presentación De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA UNIVERSIDAD DEL TOLIMA INSTITUTO DE EDUCACIÓN A DISTANCIA-IDEAD PROGRAMA DE INGENIERÍA DE SISTEMAS

Más detalles

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA - UCLA

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC CONTADOR EDUARDO LUIS GARCÍA egarcia@criba.edu.ar Departamento de Ciencias de la Administración Universidad acional del Sur CATEGORÍA EN LA CUAL SE ENCUADRA EL TRABAJO Propuesta de contenido. MODALIDAD

Más detalles

Créditos. Hannia Vega Viceministra de Telecomunicaciones. Marcos Arroyo, Director de Planeación Dirección Responsable

Créditos. Hannia Vega Viceministra de Telecomunicaciones. Marcos Arroyo, Director de Planeación Dirección Responsable Créditos Hannia Vega Viceministra de Telecomunicaciones Marcos Arroyo, Director de Planeación Dirección Responsable Elídier Moya, Gerencia de Redes Gerencia Responsable y Coordinación Alejandro Berrocal

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

ISO 27000. Contenidos WWW.ISO27000.ES. 1. Origen. 2. La serie 27000. 3. Contenido. 4. Beneficios. 5. Cómo adaptarse? 6. Aspectos Clave.

ISO 27000. Contenidos WWW.ISO27000.ES. 1. Origen. 2. La serie 27000. 3. Contenido. 4. Beneficios. 5. Cómo adaptarse? 6. Aspectos Clave. ISO 27000 Contenidos 1. Origen 2. La serie 27000 3. Contenido 4. Beneficios 5. Cómo adaptarse? 6. Aspectos Clave. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier

Más detalles

CURSO TALLER Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información, teniendo como

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Pontificia Universidad Católica del Ecuador FACULTAD DE INGENIERÍA. CARRERA DE INGENIERÍA DE SISTEMAS

Pontificia Universidad Católica del Ecuador FACULTAD DE INGENIERÍA. CARRERA DE INGENIERÍA DE SISTEMAS 1. DATOS INFORMATIVOS FACULTAD: INGENIERÍA CARRERA: Sistemas Asignatura/Módulo: Evaluación de Sistemas Código: 11869 Plan de estudios: Nivel: Séptimo Prerrequisitos: 10507 Base de Datos II, 15614 Teoría

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

TABLA DE CONTENIDOS. Dedicatoria. Agradecimientos. Tabla de Contenidos. Índice de Figuras. Índice de Tablas. Resumen. Abstract

TABLA DE CONTENIDOS. Dedicatoria. Agradecimientos. Tabla de Contenidos. Índice de Figuras. Índice de Tablas. Resumen. Abstract TABLA DE CONTENIDOS página Dedicatoria Agradecimientos Tabla de Contenidos Índice de Figuras Índice de Tablas Resumen Abstract II III IV VIII IX XIII XIV 1. Introducción 1 1.1. Problemática...............................

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

DIPLOMADO: Seguridad de la Información y de Tecnologías Relativas.

DIPLOMADO: Seguridad de la Información y de Tecnologías Relativas. 12.7mm (0.5") DIPLOMADO: Seguridad de la Información y de Tecnologías Relativas. Programa de Educación Continua que te ofrecen la Corporate & Professional Education de la Universidad de San Diego y Hewlett

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor Seminario ITIL y Seguridad de la información en la práctica José Antonio Espinal Dir. Tecnología, Tecnofor AGENDA Bienvenida Impacto de la Seguridad de la información en procesos ITIL Qué es un sistema

Más detalles

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGÍAS MAESTRÍA EN CIENCIAS DE LA COMPUTACIÓN

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGÍAS MAESTRÍA EN CIENCIAS DE LA COMPUTACIÓN UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGÍAS MAESTRÍA EN CIENCIAS DE LA COMPUTACIÓN DISEÑO DE UN PLAN DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. CASO: DIRECCIÓN DE INFORMÁTICA

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

NTE INEN-ISO/IEC 27033-1 Primera edición

NTE INEN-ISO/IEC 27033-1 Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009,

Más detalles

El Análisis de Riesgo en la seguridad de la información

El Análisis de Riesgo en la seguridad de la información Publicaciones en Ciencias y Tecnología. Vol 4, 2010 N 0 2, pp.33 37, ISSN:1856-8890,Dep.Legal pp200702la2730 El Análisis de Riesgo en la seguridad de la información * Manuel Mujica, ** Yenny Alvarez Recibido:

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Auditoría Informática

Auditoría Informática Auditoría Informática Titulación: Ingeniería Técnica en Informática de Gestión Curso: 3º, Cuatrimestral Créditos: 6 Tipo: Optativa Horas de clase: 4 horas por semana, 15 semanas - 60 horas Horas de teoría:

Más detalles

ILTICS.org. Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información

ILTICS.org. Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información Instituto Latinoamericano en Tecnologías de la Información y Comunicación ILTICS.org CURSO VIRTUAL de ESPECIALIZACIÓN en Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información

Más detalles