UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación"

Transcripción

1 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL BARQUISIMETO,MARZO.007

2 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL Trabajodegradopresentadocomorequisitoparcialparaoptar algradodemagísterscientiarumencienciasdelacomputación AUTOR: LCDO.MUJICAR.MANUELA. TUTOR: PROF.POLANCOR.WILLIAMR. BARQUISIMETO,MARZO.007

3 APROBACIONDELTUTOR EnmicarácterdeTutordeltrabajodegradopresentadoporelLicenciadoManuel AntonioMujicaRuiz,paraoptaralGradode MagísterScientiarumenCienciasdela Computación,Mención RedesdeComputadoras,consideroquedichoTrabajoreúnelos requisitosyméritossuficientesparasersometidoalapresentaciónpúblicayevaluaciónpor partedeljuradoquesedesigne. EnlaCiudaddeBarquisimeto,alosveintiochodíasdelmesdefebrerodeldosmil siete. PROF.POLANCOWILLIAM

4 DEDICATORIA ADiosTodopoderoso,nuestroseñorJesúsporiluminarmeybrindarmesabiduría alolargodelainvestigaciónycarrera. Amiabuela(Q.P.D.),quienmeformoenlosprimerosañosdemivida. Amimadre,porsumotivaciónyamorparaellogrodeestameta. Amiesposa,porsuapoyoincondicionalycomprensión. A Maria, Lorena, Sofia, Genesis y Manuela para que este esfuerzosirva de ejemplodesuperación. Amistíasquienessiempremehanimpulsadoallogrodemismetas. Atodasaquellaspersonasquedeunauotraformabrindaronanimoyfortaleza paraseguiradelanteenmidesarrolloprofesionalyquecontribuyeronparaculminar conéxitoestainvestigación. Graciasatodosymiespecialagradecimiento, iv

5 AGRADECIMIENTO AlaUniversidadCentroccidentalLisandroAlvarado(UCLA)porpermitirme adquirirvaliososconocimientos,queservirándemuchoeneldesempeñolaboral. AlIngenieroWilliamPolanco,porsuvaliosaorientaciónydedicaciónpara desarrollaryllegarafeliztérminolainvestigación. AlosdirectivosdelaUniversidadNacionalExperimentalPolitécnicaAntonio JosédeSucre(UNEXPO), porsuapoyoycolaboraciónincondicionalparallevara cabolapresenteinvestigación. AlosprofesoresEuvisPiña,GlennysClemantyArsenioPérezporbrindarmesu colaboraciónyorientacióneneldesarrollodeltrabajodegradoyalolargodela carrera. Atodosmissincerosagradecimientos, v

6 INDICEGENERAL pp. DEDICATORIA......iv AGRADECIMIENTO......v LISTADECUADROS......ix LISTADEGRAFICOS......xi RESUMEN......xii ABSTRACT......xiii INTRODUCCION CAPITULO IELPROBLEMA PlanteamientodelProblema...3 ObjetivosdelaInvestigación ObjetivoGeneral ObjetivosEspecíficos JustificacióneImportancia AlcancesyLimitaciones IIMARCOTEORICO AntecedentesdelaInvestigación...0 BasesTeóricas Historia Seguridad EstándaresdeSeguridad NormaISO/IEC 700: NormaISO/IEC 7799: PolíticasDeSeguridad PlandeSeguridad Administracióndelriesgo...7 AnálisisdelRiesgoylosRequerimientosdelISO700: BasesLegales EstándaresInternacionales LeyesNacionales NormativaInterna SistemadeVariables vi

7 pp. IIIMARCOMETODOLOGICO NaturalezadelaInvestigación...39 DiseñodeInvestigación FaseI:Diagnóstico PoblaciónyMuestra TécnicaseInstrumentosdeRecoleccióndeDatos...4 ValidezdelInstrumento ConfiabilidaddelInstrumento...43 TécnicasdeAnálisisdelosDatos...44 FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...46 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...46 IVPROPUESTADELESTUDIO FaseI:Diagnóstico Validezyconfiabilidaddelosinstrumentos...48 TécnicadeAnálisisyPresentacióndelosResultados...48 ResultadosdelaEntrevista...49 Resultadosdelcuestionario Observacióndirecta FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...75 VEJECUCIONYEVALUACIÓNDELAPROPUESTA...5 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...5 vii

8 CAPITULOpp. VICONCLUSIONESYRECOMENDACIONES...30 Conclusiones Recomendaciones BIBLIOGRAFÍA ANEXOS... A TablaA. ObjetivosdecontrolycontrolesdelaNormaISO/IEC 700: B GanttdelPlandeSeguridadInformática... C Entrevista... D Cuestionario... E ValidacióndeInstrumentosdeRecoleccióndeDatos... F ConfiabilidaddelInstrumento... G ResúmenesdeCasos... H Tabladefrecuencia... I Documentacióndeseguridadexistente... J InventariodeHardware... K InventariodeServicios... L Memoriafotográfica... M Perfilesusuarios... N HerramientasdeRastreo,evaluaciónyrupturadecontraseñas... O Comparacióncualitativa... P Directricesparalaauditoría... Q ImplementacionesenseguridadUNEXPO... R CurrículumVítaedelAutor... viii

9 LISTADECUADROS CUADRO pp. Evolucióndelanormativa... 0 Futurodelanormativa... DescripcióndelModeloPDCAaplicadoalosprocesosSGSI... 3 Vulnerabilidadesdivulgadas OperacionalizacióndelasVariables DescripcióndelaPoblación... 4 CriteriosdeConfiabilidad MatrizdeRegistrodelaentrevista CertificacióndeSeguridadInformática ConocimientosdeSeguridadInformática DocumentodeSeguridadInformática Propiedaddelainformación ProgramasdesensibilizaciónenSeguridadInformática PolíticasdeSeguridadInformática Plandecontinuidaddeoperaciones Planderecuperaciónantedesastres Evaluaciónderiesgos... 6 Riesgodevirus... 6 Objetivosdecontrolycontroles GarantíaFuncionalFaseI... 7 NormalizacióndePlataformaenlasEstacionesdeTrabajo... 7 Rediseño y Actualización de la Infraestructura de Red del Rectorado Resumendeproyectos DiseñodelPlandeSeguridadInformática InventariodeActivos... TasacióndeActivos... Realizacióndelanálisisyevaluacióndelriesgo... Enunciadodeaplicabilidad... 4 ImplantaciónyOperación... 5 Implantacióndeloscontroles... 9 Evaluacióndelplandeseguridad... 0 EnumerardetallesdecontactosUnexpo... 3 ix

10 CUADRO NICUnexpo... DNSUnexpo... TablaleyendaDNS... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... x pp

11 LISTADEGRAFICOS GRAFICO pp. EstructuraOrganizativaOficinaCentraldeTecnologíayServicios deinformación... Modelo PDCA aplicado a los procesos SGSI. ISO/IEC 700: Procesodeevaluaciónderiesgo... FormulaCoeficienteAlphadeCronbach... CertificacióndeSeguridadInformática... ConocimientosdeSeguridadInformática... DocumentodeSeguridadInformática... Propiedaddelainformación... ProgramasdesensibilizaciónenSeguridadInformática... PolíticasdeSeguridadInformática... Plandecontinuidaddeoperaciones... Planderecuperaciónantedesastres... Evaluaciónderiesgos... Riesgodevirus... Metodologíadelaselipses.CasoSistemaAdministrativoIntegrado SAI... Diagramadeflujoparalaevaluacióndelaseguridadenredes... EnumerardetallesdecontactosUnexpo... DNSactivosUnexpo... EstadoDNSUnexpo... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... xi

12 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALA UNIVERSIDADNACIONALEXPERIMENTALPOLITECNICA ANTONIO JOSEDESUCRE SEDERECTORAL AUTOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO FECHA:MARZO.007 RESUMEN El presente trabajo de investigación se basó en diseñar un Plan de Seguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.estomotivadoadiversosincidentesdeseguridadenlosservicios deinformaciónqueocurrierontalescomo:ataquesdedenegacióndeservicio(dos)al servidordns(domainnamesystem),presenciadecorreospam(correoelectrónico basura) de manera cotidiana, pérdida o eliminación involuntaria de información institucionalenlascomputadorasdeusuariosadministrativos,computadorasinfectadas de virus y troyanos, así como también la falta de un plan de seguridad de la información que lograse minimizar los riesgos ante las amenazas en las redes de computadoras.todoloanteriormenteexplicadosoportólapremisaderealizarunplan deseguridadinformáticaconelfindedarrespuestaaunaproblemáticarealyplantear una soluciónbasadaen estándaresdeseguridadinternacionales.laelaboracióndel estudioserealizómetodológicamenteatravésdelascuatrofasesfundamentalesenla formulacióndeunproyectofactiblecomoson:faseidiagnóstico;faseiifactibilidad; FaseIIIDiseñodelPlandeSeguridadInformáticayFaseIVEvaluacióndeldiseñodel PlandeSeguridadInformática.Paratodasellasse utilizaronanálisisestadísticosy técnicasderecolecciónyanálisisdela informacióndandocomoresultado mejoras consolidadasenlosaspectosdeseguridaddelainformacióndelsetentayunopor ciento (7%) y una posición estipulada promedio como buena en comparación cualitativaconrespectoalasotrasuniversidadestomadascomoreferencia. Descriptores: Plan de Seguridad Informática, Estándares de Seguridad, Redes de computadoras. xii

13 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DESIGNOFAPLANOFCOMPUTERSCIENCESECURITYFORTHE EXPERIMENTALNATIONALUNIVERSITYPOLYTECHNICAL ANTONIO JOSEOFSUCRE HOSTRECTORAL AUTHOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO DATES:MARZO.007 ABSTRACT Thepresentworkofinvestigationwasbasedondesigningaplanofcomputerscience security for the Experimental National University Polytechnical Antonio José de Sucre hostrectoral.thismotivatedtodiverseincidentsofsecurityintheinformation servicesthathappenedsuchas:attacksofrefusalonwatch(dos)toservantdns (DomainNameSystem),presenceofmailSpam(electronicmailsweepings)ofdaily way,lossorinvoluntaryeliminationofinstitutionalinformationinthecomputersof administrativeusers,infectedcomputersofvirusandtroyanos,aswellasthelackofa planofsecurityoftheinformationthatmanagedtodiminishtherisksbeforethethreats inthenetworksofcomputers.allpreviouslyexplaineditsupportedthepremiseto make a plan ofcomputer science security with the purpose of giving problematic answerarealoneandraisingasolutionbasedoninternationalstandardsofsecurity. Theelaborationofthestudywasmademethodologicallythroughthefourfundamental phasesintheformulationofafeasibleprojectastheyare:phaseidiagnosis;phaseii Feasibility;PhaseIIIDesignoftheplanofcomputersciencesecurityandPhaseIV Evaluationofdesigntheplanofcomputersciencesecurity.Forallofthemstatistical analysesandofharvestingandanalysesoftheinformationwereusedtechnicalgiving likeresultimprovementsconsolidatedintheaspectsofsecurityoftheinformationof theseventyandonepercent(7%)andonestipulatedpositionaveragelike good in qualitativecomparisonwithrespecttotheotheruniversitiestakenlikereference. Description:PlanofComputerscienceSecurity,StandardsofSecurity,Networksof computers. xiii

14 INTRODUCCION Elconceptodeseguridadeninformáticaespococonocidoeimpartidoalosfuturos profesionalesdelasáreastecnológicasenlasuniversidadestradicionalesdenuestropaís, hecho corroborable en los pensa de estudio; sin embargo, se detecta que esta área es neurálgicaunavezquesetienecontactoconlasorganizacionesenelcampolaboral,yaque estas toman muy en serio la confidencialidad, autenticación y disponibilidad de la informaciónmotivadoaqueellorepresentaelementosdeéxitoalaorganización. De acuerdo con el informe de PandaLabs (.006), un estudio realizado por una importanteempresadeseguridadinformáticaarrojóqueelveintiunoporciento(%)del correoelectrónicoquerecibenlasempresasesspam yqueelcincoporciento(5%)del tráficototaldelaredestáinfectadoporalgúntipodesoftwaremalicioso.losempleados utilizanelaccesoainternetconfinespersonalesalmenosunahorapordíaensustrabajos,lo cualsetradujoenpérdidasporlucrocesanteparalasempresasdemásdetrescientosochenta (380)millonesdedolaresduranteelaño.005.Además,sedescubrióqueelsesentayseis porciento(66%)delasvisitasapáginasconcontenidospornográficosseefectúandurantela jornadalaboral,nosóloprovocandopérdidassinoconsumiendoelanchodebanda. Enestesentido,elconstantecambiodecondicionesyplataformasparaelmanejode información,aunadoalaugedenuevastecnologíaseneláreadesistemasyredesconllevana unaminuciosarevisióndelossistemasdegerenciadeseguridaddelainformacióndelas empresasparatenerdirectricesclarassobreelámbitodeseguridad. EltrabajodeinvestigaciónsebasóendiseñarunPlandeSeguridadInformáticapara launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre sederectoral. Enestesentido,eltrabajo deinvestigaciónseestructuróenseis(6)capítulos: el CapítuloI,conformadoporelProblema,enelcualsedesarrollasuplanteamiento,objetivos delainvestigación,justificacióneimportancia. SPAM:sonmensajesnosolicitados,habitualmentedetipopublicitario,enviadosencantidadesmasivas.

15 El Capítulo II, denominado Marco Teórico, contentivo de los antecedentes de investigación,basesteóricas,baseslegalesysistemadevariables. El Capítulo III, Marco Metodológico, contiene la naturaleza y diseño de la investigaciónconladescripcióndelasfasesdelproyectofactible. El Capítulo IV, Propuesta del Estudio, presenta la fase I: Diagnóstico, fase II: FactibilidadylafaseIII:DiseñodelPlandeSeguridadInformática ElCapítuloV,EjecuciónyEvaluacióndelaPropuesta,seefectúalafaseIV. Por último el Capítulo VI, mostrará las conclusiones y recomendaciones de la investigación. Lasteoríasquesustentanlainvestigaciónsonlasdecienciasdelacomputaciónenla especialidad de redes de computadores y puntualmente en seguridad de la información, utilizando como modalidad metodológica la de proyecto factible. Con estas teorías se pretendesoportareldiseñodeunplandeseguridadinformáticaparalauniversidadnacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral,tomandocomoreferenciala normaiso/iec 700:005ylanormaISO/IEC 7799:005.

16

17 CAPITULOI ELPROBLEMA PlanteamientodelProblema Lamayoríadelaspersonasgastanmástiempoyenergíasen hablardelosproblemasqueenafrontarlos. HenryFord EnlasúltimasdosdécadasdelsigloXXyprimeradelXXI,sehanpropiciado cambioseneláreatecnológicaquehanimpulsadolaautomatizacióndelosprocesosde lasdistintasorganizaciones,siendounodeestoscambioselusomasivoderedesde computadorasparalatransmisióndevoz,vídeoydatos.lasredesdecomputadoras comoloexplicatanenbaum(.003), esunconjuntodecomputadorasautómatas interconectadas. Se dice que dos computadoras están interconectadas si pueden intercambiarinformación.elcrecimientodelasredesdecomputadorasesacelerado porunelementotecnológicoasociadoalosnuevostiemposcomoloeselinternet, entendiéndose como la interconexión de redes informáticas que permite a los ordenadores o computadoras conectadas comunicarse directamente, es decir, cada ordenadordelaredpuedeconectarseacualquierotro.tambiénseleconocecomola granredderedesolasúperautopistadelainformación. Paralograrlainterconexióndelasredesserequiriódeunmodeloquesirvierade marco de referencia. Este fue propuesto por la ISO (Internacional Standards Organization)enladécadadelos70 s,dándoleelnombredemodeloosi (Open SystemsInterconnection)elcualestábasadoensietecapas,definiendoparacadauna ISO: International Organization for Standarization (ISO), es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales,queproducenormasinternacionalesindustrialesycomerciales.http://www.iso.org/ 3

18 de ellas servicios, interfaces y protocolos a utilizar. Al respecto Bigelow (.003) explica elmodeloosidescribecómosedesplazalainformacióndeunaaplicación enunequipo,atravésdelared,alaaplicacióndeotroequipo estemodelo se consideraelprincipalmodelodearquitecturaparacomunicacionesyeselmarcodonde encajanlosestándaresexistentes. Otradelasinstitucionesquecolaboraconelámbitodenormalizacionesyestándares eslacomisiónelectrotécnicainternacional(iecporsussiglasinglesas).estaesuna organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas.numerosasnormassedesarrollanconjuntamenteconlaisoyporellose daelnombredenormasiso/iec. Comoconsecuenciadeestablecerunmodeloúnicodereferencia,elmodeloOSI, hapermitidoqueelprocesodecomunicarseatravésdelasredesdecomputadoras evolucione; sin embargo, éste proceso se ve amenazado constantemente por vulnerabilidadesqueaparecenreiteradamenteenlossistemasdeinformaciónytambién como consecuencia de inadecuadas políticas de seguridad o falta de éstas para el manejo de los servicios de información. El problema de seguridad repercute negativamenteenelámbitofinancieroeinclusoenlaimagenorganizacional,motivado aqueesteocasionapérdidadereputaciónyconfianza. LaAcademiaLatinoamericanadeSeguridadInformática(.004)destacaalrespecto que lainformacióneselobjetodemayorvalorparalasempresas.elprogresodela informática y de las redes de comunicación nos presenta un nuevo escenario. La seguridaddelainformaciónesunasuntotanimportante,puesafectadirectamentealos negociosdeunaempresaoindividuo. Porlotanto,larelevanciadetenerseguridaddeinformaciónenlasredesde computadorasesevidente.maiwald(005)explicaque laseguridaddelainformación sonlasmedidasadoptadasparaevitarelusonoautorizado,elmaluso,lamodificación odenegacióndelusodeconocimientos,hechos,datosocapacidades. Existenvariasnormasinternacionalesquebuscangarantizarlaseguridaddela información en las organizaciones. De ellas la que se ha tomado como punto de 4

19 referencia ha sido la norma ISO/IEC 700:005 titulada Sistemas de gestión de seguridaddelainformación Requerimientos.Estedocumentoestádestinadoaser utilizado como punto de partida en las organizaciones que deseen implementar seguridaddelainformaciónycuyoorigenestabasadoenlanormabritishstandards InstitutionBS7799,lacualfueusadahastamediadosdelaño.005comoelemento para certificar a las empresas sobre los estándares de seguridad. Este estándar internacional ha sido preparado con la finalidad de proporcionar un modelo para establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsistemade GestióndeSeguridaddelaInformación(SGSI). Además,lanormaISO/IEC 7799:005titulada Códigoparalaprácticadela gestióndelaseguridaddelainformación,estableceloslineamientosyprincipios generalesparainiciar,implementar,mantenerymejorarlagestióndelaseguridaddela información.estanormaescomplementodelaiso/iec 700:005 Enesteordendeideas,lasUniversidadesVenezolanascomoorganizacionesenlas cuales se prestan servicios de información han utilizado como parte de sus herramientastecnológicaslasredesdecomputadores.esevidentequeestasnoescapan delosproblemasdeseguridaddelainformaciónplanteadosconantelación,talycomo sehapodidocorroborarporobservacióndirectadelinvestigadorenlauniversidad ExperimentalPolitécnica AntonioJosédeSucre,endonde,hanocurridoincidentes deseguridadenlosserviciosdeinformacióntalescomo:ataquesdedenegaciónde servicioalservidordns(domainnamesystem),presenciadecorreospam(correo electrónico basura) de manera cotidiana, perdida o eliminación involuntaria de información institucional en los computadores de usuarios administrativos, computadoresinfectadosdevirus,troyanosylanoexistenciadeunplandeseguridad delainformaciónquelogreminimizarlosriesgosantelasamenazas. EstaUniversidadfuecreadael0defebrerode.979,medianteDecretoEjecutivo No , El área tecnológica es dirigida por la Oficina Central de Tecnología y Servicios de Información (OCTSI), creada el 04 de mayo de.005 en su sesión extraordinaria no. 005 E09 05 de Consejo Universitario de la UNEXPO, en 5

20 concordanciaconloslineamientosdetecnologíayserviciosdeinformación,aprobado el0dejuliodel.004segúnresolucióndeconsejouniversitariono.004 E4 06.A ellaperteneceelgrupodeseguridadycomosemuestraenelgráfico y cuyasfuncionesson:. Aplicar y velar por el cumplimiento de las medidas de seguridad en comunicaciones,serviciosdeinformaciónyplataformatecnológica.. Realizar,mantenerygarantizarlaintegridaddelainformaciónmanejada,a travésdeprocedimientosderespaldosydeseguridad. 3. Aplicar las medidas de seguridad establecidas para la operación y funcionamientodelosrecursostecnológicosydeinformacióndelainstitución. 4. Realizarelmonitoreocontinuodelaseguridad,enlaplataformatecnológicade lainstitución. 5. Llevarestadísticassobreintentosdeaccesonoautorizadosalosserviciosde informaciónylaredcorporativadedatosdelainstitución. 6. Implantarnormasyprocedimientosparalaasignacióndeprioridadesyrecursos requeridosparalapuestaenproduccióndeplanesdeseguridad. 7. Garantizarlaseguridadenelintercambiodeinformaciónentrelosusuariosy losserviciosdeinformaciónenproducción. 8. Realizarlasactividadesqueporsunaturalezacorrespondenaláreadesoportey mantenimientodelaseguridad. Gráfico.EstructuraOrganizativaOficinaCentraldeTecnologíayServiciosdeInformación. Fuente:ReglamentodeTecnologíayServiciosdeInformacióndelaUNEXPO(.005) 6

21 Por otra parte, se evidencia un orden jurídico Institucional como son los LineamientosdeTecnologíayServiciosdeInformaciónyelReglamentodeTecnología yserviciosdeinformacióndelaunexpo,ambosdecaráctermandatariosenrelación aquedebensercontempladolosaspectosdeseguridaddelainformacióndentrodela Universidad. Conesteescenarioplanteadoydecontinuarloshechosirregularespresentados dentrodelainstituciónenrelaciónaltratamientodelainformación,podríangenerarse responsabilidadeslegalesalpersonalencargadodemanteneryadministrarlatecnología yserviciodeinformacióndentrodelauniversidad. Porloantesexpuesto,seproponediseñarunPlandeSeguridadInformáticaparala UniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre sederectoral yparaello seestablececomoreferencialanormaiso/iec 700:005ylanorma ISO/IEC 7799:005. En este punto se hace indispensable analizar minuciosa y detalladamentelasrespuestasalassiguientesinterrogantes: Cómo está actualmente la seguridad informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre,enlasedeRectoral?. Cuál es la factibilidad de diseñar un Plan de Seguridad Informática para la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. QuécaracterísticasdebetenereldiseñodeunPlandeSeguridadInformáticaparala Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. CualseráelresultadodeevaluareldiseñodelPlandeSeguridadInformática?. Lasrespuestasaestasinterrogantespermitiránproponereldiseñodel Plande SeguridadInformáticaparalaUniversidadNacionalExperimentalPolitécnica Antonio JosédeSucre sederectoral,tomandocomoreferencialanormaiso/iec 700:005 ylanormaiso/iec 7799:005. 7

22 ObjetivosdelaInvestigación ObjetivoGeneral Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. ObjetivosEspecíficos Diagnosticarlasituaciónactualenlaqueseencuentralaseguridadinformáticaen launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre.sede Rectoral. Determinarlafactibilidadoperativa,técnicayeconómicade diseñarunplande Seguridad Informática para la Universidad Nacional Experimental Politécnica AntonioJosédeSucre sederectoral. Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. EvaluareldiseñodelPlandeSeguridadInformáticaparalaUniversidadNacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. JustificacióneImportancia Eldesarrollodelacienciadelacomputaciónsehavistoafectadafavorablemente dadolossignificativosavancesdelosúltimostreinta(30)añosenelámbitodelas telecomunicacionesusandolosmedioselectrónicosinformáticoscomoelinternety las redes de comunicaciones como forma de masificación de información. Esta masificación ha obligado a los administradores de redes de computadores a incorporarseenlaluchaporofrecerseguridaddelainformaciónenlosentornosque administran.lainformaciónqueviajaatravésdelasredesessusceptibleaservista, 8

23 generadaoalteradaporterceros.deallílanecesidaddeofrecerseguridadentodoslos nivelesdeinformacióndelasorganizaciones. En este sentido, las universidades como organizaciones de servicios deben incorporarsedentrodelosestándaresqueinvolucrenseguridadenlainformación.las leyes venezolanas brindan un marco legal donde la información tiene un papel preponderante y su tratamiento en lo relacionado a seguridad repercute sobre las responsabilidadesdelosqueadministranlatecnologíasyserviciosdedeinformación. LaUniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre como universidadpública,seencuentrainteresadaenbrindarseguridadalainformaciónque viajaatravésdesusredesdecomputadoresporloquesehasurgidolanecesidadde diseñarunplandeseguridadinformáticaparaellaensusederectoral. Coneldiseñopropuestoseesperaofrecerunasoluciónefectivaalosproblemasde seguridadenlauniversidadparabrindarconfiabilidad,confidencialidadynorepudio delainformaciónminimizandolosriesgos.tambiénaportarunaalternativa paralas otras universidades o instituciones con problemática similar. De igual manera, se esperaquelainvestigaciónsirvacomobaseparafuturasinvestigacionesenelárea. AlcancesyLimitaciones DentrodelosalcancesquesetieneeseldiseñodePlandeSeguridadInformática tomandocomoreferencialanormaiso/iec 700:005e ISO/IEC 7799:005, se realizaráparaelcasoparticularde lareddelauniversidadnacionalexperimental Politécnica AntonioJosédeSucre enlasederectoral. Encuantoalaslimitacionesesimportantetomarencuentaquelosaspectosque conforman la confidencialidad de la información son factor preponderante en el desarrollodelainvestigaciónyesporelloqueserealizalosllamadosrespectivosenlos casosdondeaplique.lainformaciónmostradadelainstituciónesreferencialysolo paralosefectosacadémicosrespectivos. 9

24 CAPITULOII MARCOTEORICO. AntecedentesdelaInvestigación Losqueseenamorandelaprácticasinlateoríasoncomolos pilotossintimónnibrújula,quenuncapodránsaberadónde van. LeonardoDaVinci Todoestudiorequiere,larevisióndelaliteraturaexistentesobretemasrelacionados coneltrabajoqueseelabora,porloquesehacenecesarialaconsultadeestudios realizados con el mismo. En el presente capítulo se citan investigaciones que han contribuidoagenerarantecedentesalapropuestade diseñarunplandeseguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.entrelostrabajospresentadossedestacanlossiguientes: Murillo(.00) ensutrabajo DiseñoyAplicacióndeunSistemaIntegralde SeguridadInformáticaparala UniversidaddelasAméricas(UDLA),tienecomo objetivo general de proyecto diseñar y aplicar un esquema integral de seguridad informáticabasadoenun estudio de metodologíasdeseguridadpara satisfacer los requerimientosusuario infraestructura administradordelareddelaudla.alo largodelainvestigaciónsepresentanlosaspectosrelevantesdelateoríadeseguridad informática aplicada a las necesidades de la red UDLA, conceptos básicos de la seguridadinformática,lasituaciónactualdelaudla.tambiéncomprendeunanálisis delestadodelarteenlaseguridadinformáticaylospuntosmásrelevantessobrela seguridadenelsistemaoperativounix.exponenlosconceptosmásrelevantessobre criptología,firewallsyherramientasexistentesdescribiendolasíntesisdeestetrabajo: porunlado,elhacker sworkbenchcomoesquemadedeteccióndevulnerabilidades 0

25 de la red UDLA y por otro, el Administrator s work bench como esquema de prevencióndeataques.seexplicanlaspartesqueconformanelesquemadeseguridad propuesto,suimplantación,susobjetivos,ylasnecesidadesquecubren presentando losresultadosobtenidoseneltrabajo,elestadoactualdelossistemasdesarrollados,los beneficiosprobadosenunaredlocalyenlaredudla.comoconclusióncorroborala necesidaddeincluirunáreaexclusivamentealmonitoreoycontroldelaseguridad informáticaencualquierreddecómputo.porotrolado,laspolíticasyprocedimientos establecidosnosonreflejadosmotivadoasucarácterdeconfidencialidadyporúltimo, seevidencialaexistenciademúltiplesherramientasgratuitasparaimplantarseguridad enlasredesdecomputo. Larelaciónquepresentaestetrabajoalapropuestaqueseestápresentandosebasa en el diseño y aplicación de un esquema integral de seguridad informática considerandoporunladounestudiodemetodologíasdeseguridadparasatisfacerlos requerimientosusuario infraestructura administrador,yporelotroelusodelos conceptos más relevantes sobre criptología, firewalls y herramientas existentes, así comoelhacker sworkbenchcomoesquemadedeteccióndevulnerabilidadesderedy eladministrator sworkbenchcomoesquemadeprevencióndeataques. CeriniyPrá(.00)desarrollaronunaauditoríadeseguridadinformáticayun análisisderiesgosenunaempresadeventadeautomotorestitulado Plandeseguridad informática,conelfindeelevarlaconsistenciadelossistemasdeinformaciónyde control, la eficiencia y efectividad de los programas y el cumplimiento de los reglamentosynormasprescritas.lametodologíaempleadafueladeinvestigaciónde campo dando como resultado las debilidades encontradas y recomendaciones que contribuyenamejorarsuniveldeseguridad.estosellevóacabocomomedioparael desarrollodeunplandeseguridadinformática,dondesedefinieronloslineamientosde laplaneación,eldiseñoeimplantacióndeunmodelodeseguridadconelobjetivode establecerunaculturadeseguridadenlaorganización. Elpropósitodeestablecerunplanesprotegerlainformaciónylosactivosdela organización,tratandodeconseguirconfidencialidad,integridadydisponibilidaddelos

26 datos; ylasresponsabilidadesquedeben asumircadaunode losempleadosde la organización,hechorelevanteparaeldesarrollodelapresenteinvestigación,yaque aporta una metodología de referencia para realizar un plan de seguridad de información. MelamedyRipepi (.00).desarrollaronun diseñoeimplantacióndeuna arquitecturaintegradadeprotecciónparalaplataformadecorreoelectrónicoenuna empresa de telecomunicaciones incluyendo tanto la intranet como extranet. El proyectoconsistióendiseñareimplantarunaarquitecturaintegradadeprotecciónpara el correo electrónico en la Corporación CANTV3. Con esta arquitectura se buscó reducirlasposiblesvulnerabilidadesdeseguridad.estetrabajoanalizalainformación manejada en la Corporación con el fin de diseñar políticas y procedimientos de seguridadparalosempleados,quepermitieronreforzarelesquemadeseguridaddela informaciónvíacorreoelectrónico.comoconclusiónselograeldiseñoeimplantación de procedimientos automáticos para la instalación de certificados digitales, y esto permiteelintercambiodeinformaciónseguradentrodelaplataformadecorreodela Corporación.Delmismomodo,seautomatizóelprocedimientodedistribucióndelas clavespúblicasyprivadas.conestaactividadsereduceaun00%laprobabilidadde ocurrenciadeerroreshumanosalmomentodeejecucióndeestetipodeactividadesy se garantiza el éxito en la implantación de la arquitectura de seguridad para la plataformadecorreoenformauniformeyacordealoslineamientosestablecidosenel trabajodegrado. EltrabajopresentadoporMelamedyRipepilograestablecerconceptosclarosy básicosparalosaspectosconcernientesalaseguridadinformática,asícomoeldiseño depolíticasyprocedimientosdeseguridadparalosempleados;hechorelevanteala horadeestablecerantecedentesdeinvestigacióneneláreaespecífica. DeSouza(.00)presentóenlaUniversidadFederaldeSantaCatarinaunaTesis titulada Gerenciadeseguridaddeinformaciónensistemasdeteletrabajo. Como 3 CANTV:Proveedordeaccesoainternet,serviciodeaccesovíadial upyconexionesdedicadascon adslyframerelay.http://www.cantv.net/

27 objetivodelagerenciadeseguridaddeinformación,realizóunarevisiónparaverificar comolasempresasbrasilerasestabanadministrandosusprogramasdeteletrabajocon relaciónaseguridaddeinformación.comobasetomófundamentosteórico empíricosy losresultadosdeinvestigaciones.lametodologíautilizadafueunmodelodeseguridad para garantizar la confidencialidad de la información en sistemas de teletrabajo, partiendodeuncontextodeaccesoremotoomodelodelineado,implementadoapartir delanormaiso/iec7799.losresultadosobtenidos,pormediodelaaplicacióndel modelo en una situación real, permitió validar la aplicación de la metodología propuestacomouninstrumentoefectivoparalagerencia. Larelacióndelapresenteinvestigaciónsecentraenlautilizacióndelanorma ISO/IEC7799paralograr unamejor seguridadde lainformaciónensistemas de teletrabajo.elusodeestanormaesantecedenteineludibledeestainvestigación. Hamana(.003)ensutrabajodegradotitulado Elementosbásicosparamodelos deseguridadenorganizacionesvenezolanas.realizaunanálisis conceptualsobre seguridadrespondiendolassiguientesinterrogantes: quéesseguridad?, cuálesson las amenazas y las herramientas con las que se cuenta?. Se enumeran los puntos necesarios para desarrollar un modelo base parala seguridad de las redes en una organización. Del análisis comparativo de la teoría, se logró extraer elementos indispensablesenlacomprensiónydesarrollodeltrabajo,quesirvencomopuntode apoyoparalaimplantacióndemodelospropios,dondelapartetécnicaseencargade evaluaryponerenfuncionamientotodoelequipamientoylogísticaparacumplircon loslineamientosdeseguridadquesonplanteadosdesdelaaltagerencia,acordeconla visióndelnegocio.lametodologíautilizadafueunestudiodeltipodescriptivono experimental.dentrodelaconclusionesobtenidassepuedeconsiderarqueelprimer pasoaseguirporunaempresaparaserseguraesidentificarlospuntosdébilesdesu red.larealizacióndetests, estudiosdetalladosdepuntosdeentradayanálisisde protocolosdeaplicacionespuedenformarpartedeestaetapa.apartirdelosresultados, informe en mano, se procede a evaluar qué áreas requieren mayor trabajo para garantizarquenoseránvulneradasporeventualesatacantes. 3

28 ElmodelodeseguridadparalaorganizaciónpropuestoporHamana,presentauna referenciaaseguirenlaexhaustivarevisiónbibliográficadeestainvestigación,como elementoqueayudeavislumbrarlasituacióndelasempresasenvenezuelaenloque conciernealaseguridadinformática. Endefinitivasepuededecir,quelostrabajosdeMurillo,Medina, Melamedy Ripepi exponenundiseñoyaplicabilidaddeesquemasintegralesdeseguridad,así comoconceptossólidosyrelevantesalahoradelainvestigación.hamana,desouza, CeriniyPrácontribuyenenlorelacionadoamodelos,políticas,lineamientosynormas utilizadasparalaimplementacióndeseguridadinformática. En este sentido, es evidente que las investigaciones señaladas guardan una estrecha relación con el objetivo general de este trabajo de grado, tanto en lo relacionadoconlaseguridaddelainformación,comoenlasnormativas,políticasy lineamientosnecesariosparaelresguardodelasmismas. BasesTeóricas Entrelosenfoquesteóricosquesustentanesteestudio,sehanconsideradolos supuestos de la Historia, Seguridad, Estándares de Seguridad, Norma ISO/IEC 700:005,NormaISO/IEC7799:005,PolíticasdeSeguridad,Administracióndel Riesgo,entreotras.Enesesentido,separtedeunenfoqueepistemológicosistémico, basado en una teoría que concibe la estructura como una concepción, que según Hurtado(.000), esaquelladondelarealidadesvistabajounaconcepciónsistemática, enlacuallaintegracióndeelementoscumplefuncionesyconfiguraestructuras. Historia Lahistoriadelaseguridadinformáticaseremontaalostiemposdelosprimeros documentosescritos.dehecho,lanecesidaddeinformaciónseguratuvosuorigenenel año.000antesdecristo.comoloexplica González(.003)losegipciosfueronlos primerosenutilizarjeroglíficosespecialesparacodificarlainformacióny,segúnpaso 4

29 eltiempo,lascivilizacionesdebabilonia,mesopotámiaygreciainventaronformasde protegersuinformaciónescrita.lacodificacióndelainformación,queeselbasedel cifrado,fueutilizadaporjuliocesar,ydurantetodalahistoriaenperíodosdeguerra, incluyendolasguerrascivilesyrevolucionarias,ylasdosguerrasmundiales.unade lasmáquinasdecodificaciónmejorconocidasfuelaalemanaenigma4,utilizadaporlos alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo,ygraciasalosesfuerzosdelproyectoultradelosestadosunidosdeamérica, entreotros,lacapacidaddedescifrarlosmensajesgeneradosporlosalemanesmarcó unéxitoimportanteparalosaliados. Enlosúltimosdiezaños,laimportanciadelaseguridadinformáticasehapuestode manifiestoporalgunashistorias.unadeellasfueladelgusanodeinternet,en.988, queseextendiópordecenasdemilesdecomputadores,comoresultadodelaobradeun hacker5llamadorobertmorris.habíaunpiratainformáticoen.995enalemaniaque seintrodujoencasi30sistemasapartirdeunobjetivoquesehabíapropuestoasí mismo de casi 500. Más recientemente, en febrero de.995, el arresto del pirata informáticomásbuscado,kevinnitnick,revelólasactividadescriminalesqueincluían el robo de códigos,deinformacióny de otrotipodedatossecretos duranteaños. Claramente,laampliautilizacióndelossistemasinformáticoshapuestoenevidenciala importancia de la seguridad informática. El objetivo principal de la seguridad informáticaesprotegerlosrecursosinformáticosdeldaño,laalteración,elroboyla pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listadosdeimpresorayengeneral,losdatos. 4 5 Enigma:Eraunamáquinaconmecanismodecifradorotativoutilizadotantoparacifradocomo paradescifrado,http://es.wikipedia.org/wiki/enigma_ Hacker:(delingléshack,hachar)eselneologismoutilizado parareferirseaunexperto(véase Gurú)envariasoalgunaramatécnicarelacionadaconlastecnologíasdelainformaciónylas telecomunicaciones: programación, redes de computadoras, sistemas operativos, hardware de red/voz,etc.http://es.wikipedia.org/wiki/hacker 5

30 Seguridad SegúnlaRealAcademiaEspañola(.006),lodefine...comoestadodeseguro; garantíaoconjuntodegarantíasquesedaaalguiensobreelcumplimientodealgo... Siseaplicaelconceptoanterioraseguridaddelainformación,sedebeampliarel conceptoindicandoqueesunacaracterísticadecualquiersistemaqueindiquequeeste últimoestálibredepeligro,dañooriesgo.seentiendecomopeligroodañotodo aquelloquepuedaafectarsufuncionamientodirectoolosresultadosqueseobtienen delmismo.paralamayoríadelosexpertoselconceptodeseguridadenlainformática esutópicoporquenoexisteunsistemacienporcientoseguro. SegúnGomez(.006)paraqueunsistemasepuedadefinircomosegurosedebe dotardecuatrocaracterísticasalmismo: Integridad: requiere que la información solo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creaciónyreactuacióndemensajestrasmitidos. Confidencialidad:requierequelainformaciónseaaccesibleúnicamenteporlas entidadesautorizadas. Disponibilidad: requiere que los elementos del sistema informático estén disponiblesparalasentidadesautorizadascuandolosnecesiten. Norepudio: ofreceprotecciónaunusuariofrenteaotrousuarioquenieguen posteriormentequeserealizóciertacomunicación.estaprotecciónseefectúa por medio de una colección de evidencias irrefutables que permitirán la resolucióndecualquierdisputa.elnorepudiodeorigenprotegealreceptorde queelemisornieguehaberenviadoelmensaje,mientrasqueelnorepudiode recepciónprotegealemisordequeelreceptornieguehaberrecibidoelmensaje. PorsuparteMaiwald(.005)ladefinecomo Medidasadoptadasparaevitareluso noautorizado,elmaluso,lamodificaciónoladenegacióndelusodeconocimiento, hechos,datosocapacidades.endefinitivalaseguridaddelainformacióneselnombre 6

31 dadoalospasospreventivosquesetomanparaprotegertantolainformacióncomosus capacidades. EstándaresdeSeguridad Enloquerespectaaestándaresdeseguridad,laUniversidadNacionaldeColombia y escert6 Universidad Politécnica Catalunya (.005) exponen que existen varios estándaresinternacionalesrelacionadosconseguridadinformáticaqueseconsideran importantesenlaactualidadoquedebenserreferenciadosporsuimportanciahistórica. Enestesentido,estánclasificadosenseis(6)clasesdeestándarescomoson:parala administración de seguridad de la información, para evaluación de seguridad en sistemas,paradesarrollodeaplicaciones,paraserviciosfinancieros,parariesgosypara autenticación. Paralaadministracióndeseguridaddelainformación: LaInternetEngineeringTaskForce(IETF7)elaboróelRFC896SiteSecurity Handbook, que ofrece una guía práctica para quienes intentan asegurar servicioseinformación. ElestándarbritánicoBS7799esunestándaraceptadoampliamentequehasido utilizado como base para elaborar otros estándares de seguridad de la información,incluyendoeliso7799yeliso700.fuedesarrolladoporel BritishStandardsInstitute. LaAgenciaFederalParaSeguridaddeInformaciónenAlemaniahageneradoel IT Baseline Protection Manual. Este documento presenta un conjunto de escert: Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas. IETF:InternetEngineeringTaskForce,encastellanoGrupodeTrabajoenIngenieríadeInternet. Esunaorganizacióninternacionalabiertadenormalización,quetienecomoobjetivoselcontribuir alaingenieríadeinternet,actuandoendiversasáreas,talescomotransporte.http://www.ietf.org/ RFC: Un documento Request For Comments (abreviado como RFC), que se traduce como "peticióndecomentarios",esundocumentocuyocontenidoesunapropuestaoficialparaunnuevo protocolodelaredinternet(originalmentedearpanet),queseexplicacontododetalleparaque encasodeseraceptadopuedaserimplementadosinambigüedades.http://www.rfc editor.org/ 7

32 métricasdeseguridadrecomendadasosafeguards,comosedenominanenel manual,parasistemasittípicos. La Organización para la cooperacióny el desarrollo económicos, en inglés (OECD9)creódirectricesparalaseguridaddesistemasyredesdeinformación. lascualespuedenserrevisadasenguidelinesforthesecurityofinformation Systems. Estándaresparaevaluacióndeseguridadensistemas: La International Organization for Standardization (ISO) ha elaborado el estándar IS Este estándar, The Common Criteria for Information TechnologySecurityEvaluationv.(ISOIS5408)esunamezclamejorada deitsec,elcanadiancriteria,yelusfederalcriteria. LaSerieArcoIris RainbowSeries (OrangeBook)(EE.UU.)Unaimportante seriededocumentoseslarainbowseries,quedelineavariosestándaresde seguridaddesarrolladosenlosestadosunidos. ElReinoUnidoelaboróelInformationTechnologySecurityEvaluationCriteria (ITSEC0) a comienzos de los años 90, y es otro estándar históricamente importante.fueelaborado,enalgunosaspectos,basándoseenelorangebook. Estándaresparadesarrollodeaplicaciones: ElSoftwareEngineeringInstitutelideróeldesarrollodelCapabilityMaturity Model(CMM),queesunmétodoparagarantizarmadurezenprocesos. UnderivadodelCMMeselSystemSecurityEngineeringCapabilityMaturity Model(SSE CMM). ElSSE CMMdescribelascaracterísticasesencialesdel procesodelaingenieríadelaseguridaddeunaorganizaciónquedebenexistir paraasegurarlabuenaingenieríadelaseguridad. Estándaresparaserviciosfinancieros: ISO 3:99 Banking and Related Financial Services; Sign on Authentication 9 0 OECD:OrganisationforEconomicCo operationanddevelopment. ITSEC:InformationTechnologySecurityEvaluationCriteria.http://en.wikipedia.org/wiki/ITSEC 8

33 ISO 3569:997 Banking and Related Financial Services Information SecurityGuidelines Estándaresparariesgo: AcquisitionRiskManagement(EE.UU.)ElSoftwareEngineeringInstitutetiene algunosdocumentossobreacquisitionriskmanagement. Estándaresparaautenticación: ISO 3:99 Banking and Related Financial Services; Sign on Authentication Debidoalanecesidaddeestablecerseguridadenlainformaciónqueposeenlas organizacioneseraprecisolaexistenciadealgunanormativaoestándarqueenglobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla.anteestadisyuntivaaparecióelbs7799,oestándarparalagestióndela seguridaddelainformación,unestándardesarrolladoporelbritishstandardinstitute en.999enelqueseenglobantodoslosaspectosrelacionadosconlagestióndela seguridaddelainformacióndentrodelaorganización.estanormativabritánicageneró enlaactualiso/iec700:005ylaiso/iec7799:005. LaISO/IEC700:005ylaISO/IEC7799:005consideranalaorganización comounatotalidadytienenenconsideracióntodoslosaspectosquesepuedenver afectadosantelosposiblesincidenteshaproducirse.estasnormaspretendenaportarlas basesparatenerenconsideracióntodosycadaunodelosaspectosquepuedesuponer unincidenteenlasactividadesdenegociodelaorganización. Estanormaesaplicableacualquierempresa,seacualseaeltamaño,laactividadde negocio o el volumen del mismo. Esto es lo que se denomina el principio de proporcionalidaddelanorma;esdecir,quetodoslosaspectosqueaparecenen la normativadebensercontempladosytenidosencuentaportodaslasorganizacionesala horadeprotegersusactivos,yladiferenciaradicaráenqueunagranorganización tendráqueutilizarmásrecursosparaprotegeractivossimilaresalosquepuedeposeer una pequeña organización. De la misma forma, dos organizaciones que tengan 9

34 actividadesdenegociomuydiferentes,nodedicaránlosmismosesfuerzosaproteger losmismosactivosdeinformación. Enpocaspalabras,estanormadebetenersecomoguíadelosaspectosquedeben tenercontroladosynoquieredecirquetodoslosaspectosqueenellaaparecentienen queserimplementadosconlosúltimosavances.tododependerádelanaturalezadela propia organización. De la relevancia demostrada de la normativa de seguridad se muestraacontinuaciónelcuadroevolucióndelanormativa. Cuadro Evolucióndelanormativa. Año Norma 995 BS7799 : BS7799 : RevisiónBS7799 : ISO/IEC7799: RevisiónBS7799 : RevisiónISO/IEC7799: RevisiónBS7799 : ISO/IEC700:005(Normainternacionalcertificable) Nota:Autor(.006) ElconjuntodeestándaresqueaportaninformacióndelafamiliaISO 700x,quese debentenerencuentacomomarcoreferencialenmateriadeseguridadysemuestranen elcuadroacontinuación: 0

35 Cuadro Futurodelanormativa. Norma Descripción Añode publicación ISO7000 VocabularioyDefiniciones 007 ISO700 ISMS EstándarCertificable(revisedBS7799Part:005)Publicado 005 el5deoctubredel005 ISO700 CódigodeBuenasPrácticas,relevodeISO7799:005.Publicadoel 007 5dejuniodel005 ISO7003 GuíaparalaImplantación(bajodesarrollo) 008 ISO7004 MétricaseIndicadores(bajodesarrollo) 008 ISO7005 Gestión de Riesgos (BS :006) (basado e incorporado a 008 ISO/IEC3335MICTSPart)(bajodesarrollo) ISO7006 ContinuidaddeNegocio/RecuperaciónDesastres Nota:Autor(.006) 007 NormaISO/IEC 700:005 SegúnlaNorma:Elestándarinternacionalhasidopreparadoconlafinalidadde proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantenerymejorarunsistemadegestióndeseguridaddelainformación(sgsi).la adopcióndeunsgsidebeserunadecisiónestratégicaparaunaorganización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados, el tamañoyestructuradelaorganización.seesperaqueestosysussistemasdeapoyo cambien a lo largo del tiempo. Se espera quela implementación de un SGSI se extiendaenconcordanciaconlasnecesidadesdelaorganización;porejemplo,una situaciónsimplerequiereunasoluciónsgsisimple. Esteestándarinternacionalpromuevelaadopcióndeunenfoquedelprocesopara establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsgsideuna organización.laorganizaciónnecesitaidentificarymanejarmuchasactividadespara poder funcionar de manera efectiva. Cualquier actividad que usa recursos y es manejadaparapermitirlatransformacióndeinsumosenproductos,sepuedeconsiderar

36 unproceso.confrecuenciaelproductodeunprocesoformadirectamenteelinsumo delsiguienteproceso. Laaplicacióndeunsistemadeprocesosdentrodeunaorganización,juntoconla identificaciónylasinteraccionesdeestosprocesosysugestión,puedeconsiderarseun enfoquedelproceso. Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar internacional fomenta que sus usuarios enfaticen la importanciade: Entender los requerimientos de seguridad de la información de una organizaciónylanecesidaddeestablecerunapolíticayobjetivosparala seguridaddelainformación; Implementaryoperarcontrolesparamanejarlosriesgosdelaseguridadde lainformación; MonitorearyrevisareldesempeñoylaefectividaddelSGSI;y Mejoramientocontinúoenbasealamedicióndelobjetivo. ElestándarinternacionaladoptaelmodelodelprocesoPlanear Hacer Chequear Actuar(PDCA),elcualsepuedeaplicaratodoslosprocesosSGSI.ElGráficomuestra cómounsgsitomacomoinsumolosrequerimientosyexpectativasdelaseguridadde lainformacióndelaspartesinteresadasyatravésdelasaccionesyprocesosnecesarios produce resultados de seguridad de la información que satisfacen aquellos requerimientos yexpectativas.el Gráfico yel cuadro 3 también muestran los vínculosenlosprocesospresentadosenlascláusulas4,5,6,7y8delanormayla descripcióndelmodelorespectivamente. LaadopcióndelmodeloPDCAtambiénreflejarálosprincipiostalcomose establecenenloslineamientosoecd(.00)quegobiernanlossistemasyredesde seguridaddelainformación.esteestándarinternacionalproporcionaunmodelosólido paraimplementarlosprincipiosenaquelloslineamientosquegobiernanlaevaluación LineamientosOECDparaSistemasyRedesdeSeguridaddelaInformación HaciaunaCultura deseguridad.parís:oecd,julio00.www.oecd.org.

37 del riesgo, diseño e implementación de seguridad, gestión y re evaluación de la seguridad. Gráfico:ModeloPDCAaplicadoalosprocesosSGSI.ISO/IEC 700:005 Cuadro3 DescripcióndelModeloPDCAaplicadoalosprocesosSGSI Planear(establecer elsgsi) Hacer(implementar yoperarelsgsi) Chequear (monitoreary revisarelsgsi) Actuar(mantenery mejorarelsgsi) Establecerpolítica,objetivos,procesosyprocedimientosSGSIrelevantesparamanejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordanciaconlaspolíticasyobjetivosgeneralesdelaorganización. Implementaryoperarlapolítica,controles,procesosyprocedimientosSGSI. Evaluary,dondeseaaplicable,medireldesempeñodelprocesoencomparaciónconla política,objetivosyexperienciasprácticassgsiyreportarlosresultadosalagerencia parasurevisión. Tomaraccionescorrectivasypreventivas,basadasenlosresultadosdela auditoría interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramientocontinuodelsgsi. Nota:ISO/IEC 700:005 NormaISO/IEC 7799:005 Esteestándarinternacionalestableceloslineamientosyprincipiosgeneralespara iniciar,implementar,mantenerymejorarlagestióndelaseguridaddelainformación en una organización. Los objetivos delineados en este estándar internacional proporcionan un lineamiento sobre los objetivos de gestión de seguridad de la informacióngeneralmenteaceptados. 3

38 Losobjetivosdecontrolyloscontrolesdeesteestándarinternacionalsondiseñados paraserimplementadosysatisfacerlosrequerimientosidentificadosporunaevaluación delriesgo.esteestándarinternacionalpuedeservircomounlineamientoprácticopara desarrollarestándaresdeseguridadorganizacionalyprácticasdegestióndeseguridad efectivasyparaayudaraelaborarlaconfianzaenlasactividadesinter organizacionales. Este estándar contiene cláusulas de control de seguridad conteniendo colectivamente un total de 39 categorías de seguridad principales y una cláusula introductoriaquepresentalaevaluaciónytratamientodelriesgo. Lasoncecláusulasyelnúmerodecategoríasdeseguridadprincipalesincluidas dentrodecadacláusulason: a) PolíticadeSeguridad(); b) OrganizacióndelaSeguridaddelaInformación(); c) GestióndeActivos(); d) SeguridaddeRecursosHumanos(3); e) SeguridadFísicayAmbiental(); f) GestióndeComunicacionesyOperaciones(0); g) deacceso(7); h) Adquisición,DesarrolloyMantenimientodeSistemasdeInformación(6); i) GestióndeIncidentesdeSeguridaddelaInformación(); j) GestióndelaContinuidadComercial(); k) Conformidad(3). PolíticasdeSeguridad. Maiwald(.005),planteaque lapolíticadeseguridaddefinelosrequerimientos técnicosparalaseguridadensistemasdecómputoyelequipoderedes.definela maneraenqueunadministradorderedesosistemasdeberíaconfigurarunsistema respectoalaseguridad.estaconfiguracióntambiénafectaráalosusuarios,yalgunos delosrequerimientosestablecidosenlapolíticadeberíancomunicarsealacomunidad 4

39 deusuariosengeneral.laresponsabilidadprincipalparalaimplementacióndeesta políticarecaesobrelosadministradoresdelsistemaydelared,siempreconelrespaldo delaadministración. Laspolíticasproporcionanlasreglasquegobiernancómodeberíanserconfigurados los sistemas y como deberían actuar los empleados de una organización en circunstancias normales y cómo deberían reaccionar si se presentan circunstancias inusuales.propiamentedicho,lapolíticarealizadosfuncionesprincipales: Defineloquedeberíaserlaseguridaddentrodeunaorganización. Poneatodosenlamismasituación,demodoquetodoelmundoentiendaloque seesperadeellos. Haytresseccionesdecadapolíticaquesoncomunesyqueseexaminaráncomosigue: Propósito: cada política y procedimiento debería tener un propósito bien definido, que articule claramente por qué fueron creados tal política o procedimiento,yquebeneficioesperalaorganizaciónderivardelosmismos. Ámbito:Cadapolíticayprocedimientodeberíatenerunasecciónquedefinasu aplicabilidad.porejemplo,unapolíticadeseguridaddebeaplicarseatodoslos sistemasdecómputoyderedes.unapolíticadeinformaciónpuedeaplicarsea todoslosempleados. Responsabilidad: La sección de responsabilidad de una política o procedimiento define quién se hará responsable por la implementación apropiadadeldocumento.quienquieraqueseadesignadocomoelresponsable deaplicarunapolíticaoprocedimientodebesercapacitadodemaneraadecuada yestarconscientedelosrequerimientosdeldocumento. PlandeSeguridad Sanz(.006)explicaqueelplandeseguridadeslaherramientautilizadaporlas empresasparagarantizarlaseguridaddesussistemasyservicios.consisteenunaserie de normas, procedimientos y políticas que se implantan en la estructura de una 5

40 organización con el objetivo de detectar, corregir y prevenir todos los riesgos de seguridad,tantopresentescomofuturos. LaestructuradeunPlandeSeguridadsedivideenvariasfases: Identificacióndeelementosaproteger. Análisisyvaloracióndelosriesgospresentesyfuturos. Diseño de unas medidas de seguridad que eliminen o mitiguen dichos riesgos. Implantacióndedichasmedidasdeseguridad. Auditoríadelasmedidasimplementadas(repetidadeformaperiódica). Revisiónyactualizacióndelasmedidasimplantadas. Agrosomodo,unbuenPlandeSeguridaddeberíacontemplarlossiguientes aspectos: Política de gestión y administración de equipos, elementos de red y servicios;quecubralainstalación,configuraciónyusodiariosegurode todosloselementosqueconformanlared. Políticadeadministracióndeparchesyactualizaciones; quemantengalos equiposalniveldeactividadóptimoencuantoaseguridadyrendimiento. Procedimientosdetransmisiónseguradedatos;quegaranticenlaseguridad delascomunicacionesentrelaempresayclientesoproveedores. Normasde seguridadfísica; quepermitanrealizaruncontrol deacceso efectivo a las instalaciones en las que se encuentran los elementos que conformanlared. Procedimientosdegestiónyadministracióndeusuariosycontraseñas;que establezcan un control efectivo y robusto de los accesos y permisos existentesenelsistema. Políticade antivirus; que permita asegurarquelos contenidos ofrecidos estánlibresdevirus,troyanosycualquierotroelementoperniciosoparael usuario. 6

41 Política de gestión y almacenamiento de logs o registros; que permita realizarunseguimientodelosaccesosrealizadostantoalosservicioscomo alosrecursosdelaempresa. Política de copias de seguridad o backups; que permita, ante un fallo catastróficodelsistema,restaurarelmismoconlamenorpérdidadedatos posible. Procedimientos ante contingencias del sistema; que garanticen una actuaciónrápidayeficazantecualquierfallodelservicio. Procedimientos ante incidencias deseguridad del sistema; que permitan reaccionar,identificar,actuarycontrarrestarcualquiertipodeaccesono autorizadoalossistemasqueprestanelservicio. Procedimientosdeformaciónyconcienciacióndelpersonaldelaempresa; con el fin de garantizar el conocimiento de unas prácticas básicas de seguridad. EsimportantereseñarqueelPlandeSeguridadesunainiciativaqueafectaa todoslosestratosdeunsistema.segestayefectúadesdeeldepartamentodesistemas Informáticos,peronecesitaporunapartedelapoyodelaDirección(paraqueasignelos recursoseconómicosyhumanosnecesariosparasuejecución),yporotrapartede todoslosusuariosdelsistema,quedebenestarconcienciadosysensibilizadosacercade laimportanciadelaseguridadensusistema. Administracióndelriesgo DeacuerdoaMaiwald(.005)laseguridadseconsigueadministrandoelriesgo.Si noseentiendecualessonlosriesgosdeseguridadparalosactivosdeinformacióndela organización,puedenutilizarsedemasiadosoescasosrecursos,outilizarlosdemanera equivocada.laadministraciónderiesgostambiénproporcionaunabaseparaelavaluo delosactivosdeinformación.alidentificarlosriesgos,ustedpuedeidentificarelvalor 7

42 delostiposparticularesdeinformaciónyelvalordelossistemasquecontienenesa información. Elriesgoeselpotencialdeloquepuedeserperdidoyrequiereprotección.Elriesgo contienedoscomponentes:laamenazaylavulnerabilidad.deellosepuedeinferirque elriesgoesigualalasumadelasamenazasylasvulnerabilidades. Riesgo=vulnerabilidad+amenaza. Seentiendeporvulnerabilidadunavíadeataquepotencial.Lasvulnerabilidades puedenexistirenredesysistemasdecomputooenprocedimientosadministrativos. Unaamenazaesunaacciónoeventoquepuedeviolarlaseguridaddeunentornode sistemasdeinformación.existentrescomponentesdeamenaza: Objetivos:Elaspectodelaseguridadquepuedeseratacado. Agentes:Laspersonasuorganizacionesqueoriginalaamenaza. Eventos:Eltipodeacciónquerepresentalaamenaza. EnestesentidoCERT(ComputerEmergencyResponseTeam),equipoderespuesta deemergenciasaincidentesdeseguridadcreadopordarpa3 (DefenseAdvanced ResearchProjectsAgency)en.988,publicaensusitewebelcuadro4quemuestralas vulnerabilidadesreportadas,dandountotalde6.73. Cuadro4 Vulnerabilidadesdivulgadas Año Q Q,006 Vulnerabilidades 7 Nota:www.cert.org ,090,437 4,9 3,784 3,780 5,990 3,997 ElCERTtrabajaparafacilitarlasrespuestasaincidentesdeseguridadqueafectana Internet,conelobjetivodetomarlasmedidasoportunasdeprevención,ademásde investigarymejorarlaseguridaddelossistemasqueexisten. 3 CERT:EquipodeRespuestaaIncidentesdeSeguridadenCómputo.www.cert.org DARPA:LaAgenciadeInvestigacióndeProyectosAvanzadosdeDefensa.http://www.darpa.mil/ 8

43 Conlafinalidadderealizarunaadministracióndelriesgosedebeelaborarun análisisderiesgosytomarcomoreferenciaelestándar. AnálisisdelRiesgoylosRequerimientosdelISO700:005 Alexander(.006)expresa: ElISO700:005requierequelaorganización queestaplaneandoimplantarunsgsi,primerodefinaelalcancedelestándarenla empresa,yenbaseaesealcanceidentifiquetodoslosactivosdeinformación. Paraidentificarlosactivosdeinformaciónsepuedeutilizarlametodologíade las elipses, la cual una vez determinado el alcance se decide el proceso que se evaluará.conestosetratadevisualizarconmuchaprecisiónlosdistintossubprocesos quecomponenalalcance.estosedeterminaenlaelipseconcéntrica,elpasosiguiente sería determinar los usuarios y dueños de esos procesos, el segundo paso en la metodología,eseldeidentificarenlaelipseintermedialasdistintasinteraccionesde lossubprocesosdelaelipseconcéntrica,tienenconotrosprocesosdelaorganización. Seguidamente, también se deben identificar con la elipse concéntrica. La elipse externa,seidentificanaquellasorganizacionesextrínsecaalaempresaquetienencierto tipodeinteracciónconlossubprocesosidentificadosenlaelipseconcéntrica. Losactivosdeinformacióndebensertasadosparaidentificarsuimpactoenla organización.luegounanálisisdelriesgoesrequeridoparadeterminarqueactivos estánbajoriesgo. Sedebentomardecisionesenrelaciónaqueriesgoslaorganización aceptaráyquecontrolesseránimplantadosparamitigarelriesgo.alagerenciasele requierequereviseelsgsienlaorganizaciónaintervalosplanificadosparaasegurar suadecuaciónyeficacia.lagerenciaesexigidaquecontrolelosnivelesderiesgos aceptadosyelestadodelriesgoresidual(riesgoquequedadespuésdeltratamientodel riesgo).eliso700:005esunsistemadinámicoqueobligaalagerenciaestar constantemente revisando y definiendo controles, sus amenazas, vulnerabilidades e iniciaraccióncorrectivaypreventivacuandoseanecesario. 9

44 ProcesodeEvaluacióndelRiesgo Elprocesodeevaluacióndelriesgoquepermiteaunaorganizaciónestaren conformidadconlosrequerimientosdelestándarestapresentadaenelgráfico 3.El procesodelasseis(6)fasesayudaacualquierorganizaciónquedeseeestablecerun SGSI,enconcordanciaconlacláusula4..delestándar. Gráfico3:Procesodeevaluaciónderiesgo IdentificaciónyTasacióndeActivos: Unactivoesalgoquetienevaloro utilidadparalaorganización,susoperacionesysucontinuidad.losactivosnecesitan protecciónparaasegurarlascorrectasoperacionesdelnegocioylacontinuidaddela empresa. La gestión apropiada de los activos es vital para poder mantener una adecuadaproteccióndelosactivosdelaempresa. Cadaactivodebeestarclaramenteidentificadoyvaloradoapropiadamente,ysu propietario y clasificación de seguridad acordada en la organización. El ISO 7799:005 (Código de Práctica para la Gestión de la Seguridad de Información) clasificalosactivosdelasiguientemanera:()activosdeinformación:basesdedatos yarchivosdedatos,documentacióndelsistema,manualesdeusuario,materialesde entrenamiento, procedimientos operativos de apoyo, planes de continuidad; () Documentos impresos: contratos, lineamientos, documentos de la compañía, documentosquecontienenresultadosimportantesdelnegocio;(3)activosdesoftware: Softwaredeaplicación,softwaredesistemas,herramientasdedesarrollo;(4)Activos 30

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Cómo aprovechar mejor el Webinar

Cómo aprovechar mejor el Webinar Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

UNIVERSIDAD DE CÓRDOBA OPTIMIZACIÓN O CREACIÓN DE NUEVOS EQUIPOS DE RED ÍNDICE

UNIVERSIDAD DE CÓRDOBA OPTIMIZACIÓN O CREACIÓN DE NUEVOS EQUIPOS DE RED ÍNDICE Página 1 de 8 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. DEFINICIONES... 2 4. CONTENIDO... 3 4.1. GENERALIDADES... 3 4.2. DESARROLLO DEL PROCEDIMIENTO... 3 5. FLUJOGRAMA... 4 6. DOCUMENTOS DE REFERENCIA...

Más detalles

REPORTE DE CUMPLIMIENTO ISO 17799

REPORTE DE CUMPLIMIENTO ISO 17799 Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Invitación a la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados. Operación del Sistema PIN Pass en Tarjetas de Crédito

Invitación a la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados. Operación del Sistema PIN Pass en Tarjetas de Crédito Invitación a la Comisión de Economía, Fomento y Desarrollo de la Cámara de Diputados Operación del Sistema PIN Pass en Tarjetas de Crédito Presentación del Superintendente de Bancos e Instituciones Financieras,

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

UNIVERSIDAD DE CÓRDOBA

UNIVERSIDAD DE CÓRDOBA 1 de 6 ÍNDICE 1. OBJETIVO 2 2. ALCANCE 2 3. DEFINICIONES 2 4. CONTENIDO 2 4.1 GENERALIDADES 2 4.2 DESARROLLO DEL PROCEDIMIENTO 3 5. FLUJOGRAMA 4 6. DOCUMENTOS DE REFERENCIA 5 7. REGISTROS 6 8. CONTROL

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI). I. DATOS GENERALES Nombre del

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz I Programa Sectorial ANEI Gestión de la Seguridad de la Información Presentación Madrid, 4 noviembre de 2002 Mario López de Ávila Muñoz Introducción Sobre la Información, la Seguridad y cómo facilitar

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

SOLICITUD DE OFERTAS No. 08 DE 2007 CONSULTORIA PARA LA IMPLANTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI FASE I ADENDO 02

SOLICITUD DE OFERTAS No. 08 DE 2007 CONSULTORIA PARA LA IMPLANTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI FASE I ADENDO 02 VICERRECTORIA ADMINISTRATIVA DIVISIÓN DE INFRAESTRUCTURA Y CONTRATACIÓN SECCIÓN COMPRAS Y ADMINISTRACIÓN DE BIENES SOLICITUD DE OFERTAS No. 08 DE 2007 CONSULTORIA PARA LA IMPLANTACIÓN DEL SISTEMA DE GESTIÓN

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

La norma ISO 27001 del Sistema de Gestión de la

La norma ISO 27001 del Sistema de Gestión de la La norma ISO 27001 del Sistema de Gestión de la Garantía de confidencialidad, integridad y Carlos Manuel Fernández Coordinador de TIC de AENOR Introducción La información es como el aparato circulatorio

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

CÓDIGO: PGDT-007 VERSIÓN: 001 UNIVERSIDAD DE CÓRDOBA MANTENIMIENTO CORRECTIVO DE EQUIPOS ACTIVOS DE RED. Página 1 de 7

CÓDIGO: PGDT-007 VERSIÓN: 001 UNIVERSIDAD DE CÓRDOBA MANTENIMIENTO CORRECTIVO DE EQUIPOS ACTIVOS DE RED. Página 1 de 7 Página 1 de 7 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. DEFINICIONES... 2 4. CONTENIDO... 3 4.1. GENERALIDADES... 3 4.2. DESARROLLO DEL PROCEDIMIENTO... 3 5. FLUJOGRAMA... 4 6. DOCUMENTOS DE REFERENCIA...

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

INFORME FINAL DE AUDITORIA. Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005. Telecomunicaciones.

INFORME FINAL DE AUDITORIA. Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005. Telecomunicaciones. INFORME FINAL DE AUDITORIA Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005 Telecomunicaciones Elaborado por: Héctor Fernando Vargas Montoya Junio 2014 La información acá contenida

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Guía de procesos en gestión de incidentes

Guía de procesos en gestión de incidentes SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Consejo Superior Universitario Acuerdo 046 de 2009 página 2 CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional

Más detalles

La Intranet Gubernamental como elemento clave de la Interoperabilidad

La Intranet Gubernamental como elemento clave de la Interoperabilidad La Intranet Gubernamental como elemento clave de la Interoperabilidad Créditos Documento elaborado por el Ingeniero Leandro Corte En el marco del proyecto Red Gealc-BID Como parte del Programa de Bienes

Más detalles

1. TÍTULO: Modelo de gestión de seguridad con soporte a SNMP.

1. TÍTULO: Modelo de gestión de seguridad con soporte a SNMP. 1. TÍTULO: Modelo de gestión de seguridad con soporte a SNMP. 2. INVESTIGADORES: Nicolás Botero A. Ing. Edgar Enrique Ruiz. 3. OBJETIVO GENERAL: Crear un modelo de gestión de seguridad de red que por medio

Más detalles

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Utilización del Acceso Remoto VPN. Ministerio del Interior N06 Utilización del Acceso Remoto VPN Ministerio del Interior N06 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema

Más detalles

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO SISTEMATIZACION DE LA GESTION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Objetivos: Aportar al alumno/a de forma eficaz todos aquellos conocimientos, habilidades y competencias que

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles