UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación"

Transcripción

1 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL BARQUISIMETO,MARZO.007

2 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL Trabajodegradopresentadocomorequisitoparcialparaoptar algradodemagísterscientiarumencienciasdelacomputación AUTOR: LCDO.MUJICAR.MANUELA. TUTOR: PROF.POLANCOR.WILLIAMR. BARQUISIMETO,MARZO.007

3 APROBACIONDELTUTOR EnmicarácterdeTutordeltrabajodegradopresentadoporelLicenciadoManuel AntonioMujicaRuiz,paraoptaralGradode MagísterScientiarumenCienciasdela Computación,Mención RedesdeComputadoras,consideroquedichoTrabajoreúnelos requisitosyméritossuficientesparasersometidoalapresentaciónpúblicayevaluaciónpor partedeljuradoquesedesigne. EnlaCiudaddeBarquisimeto,alosveintiochodíasdelmesdefebrerodeldosmil siete. PROF.POLANCOWILLIAM

4 DEDICATORIA ADiosTodopoderoso,nuestroseñorJesúsporiluminarmeybrindarmesabiduría alolargodelainvestigaciónycarrera. Amiabuela(Q.P.D.),quienmeformoenlosprimerosañosdemivida. Amimadre,porsumotivaciónyamorparaellogrodeestameta. Amiesposa,porsuapoyoincondicionalycomprensión. A Maria, Lorena, Sofia, Genesis y Manuela para que este esfuerzosirva de ejemplodesuperación. Amistíasquienessiempremehanimpulsadoallogrodemismetas. Atodasaquellaspersonasquedeunauotraformabrindaronanimoyfortaleza paraseguiradelanteenmidesarrolloprofesionalyquecontribuyeronparaculminar conéxitoestainvestigación. Graciasatodosymiespecialagradecimiento, iv

5 AGRADECIMIENTO AlaUniversidadCentroccidentalLisandroAlvarado(UCLA)porpermitirme adquirirvaliososconocimientos,queservirándemuchoeneldesempeñolaboral. AlIngenieroWilliamPolanco,porsuvaliosaorientaciónydedicaciónpara desarrollaryllegarafeliztérminolainvestigación. AlosdirectivosdelaUniversidadNacionalExperimentalPolitécnicaAntonio JosédeSucre(UNEXPO), porsuapoyoycolaboraciónincondicionalparallevara cabolapresenteinvestigación. AlosprofesoresEuvisPiña,GlennysClemantyArsenioPérezporbrindarmesu colaboraciónyorientacióneneldesarrollodeltrabajodegradoyalolargodela carrera. Atodosmissincerosagradecimientos, v

6 INDICEGENERAL pp. DEDICATORIA......iv AGRADECIMIENTO......v LISTADECUADROS......ix LISTADEGRAFICOS......xi RESUMEN......xii ABSTRACT......xiii INTRODUCCION CAPITULO IELPROBLEMA PlanteamientodelProblema...3 ObjetivosdelaInvestigación ObjetivoGeneral ObjetivosEspecíficos JustificacióneImportancia AlcancesyLimitaciones IIMARCOTEORICO AntecedentesdelaInvestigación...0 BasesTeóricas Historia Seguridad EstándaresdeSeguridad NormaISO/IEC 700: NormaISO/IEC 7799: PolíticasDeSeguridad PlandeSeguridad Administracióndelriesgo...7 AnálisisdelRiesgoylosRequerimientosdelISO700: BasesLegales EstándaresInternacionales LeyesNacionales NormativaInterna SistemadeVariables vi

7 pp. IIIMARCOMETODOLOGICO NaturalezadelaInvestigación...39 DiseñodeInvestigación FaseI:Diagnóstico PoblaciónyMuestra TécnicaseInstrumentosdeRecoleccióndeDatos...4 ValidezdelInstrumento ConfiabilidaddelInstrumento...43 TécnicasdeAnálisisdelosDatos...44 FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...46 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...46 IVPROPUESTADELESTUDIO FaseI:Diagnóstico Validezyconfiabilidaddelosinstrumentos...48 TécnicadeAnálisisyPresentacióndelosResultados...48 ResultadosdelaEntrevista...49 Resultadosdelcuestionario Observacióndirecta FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...75 VEJECUCIONYEVALUACIÓNDELAPROPUESTA...5 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...5 vii

8 CAPITULOpp. VICONCLUSIONESYRECOMENDACIONES...30 Conclusiones Recomendaciones BIBLIOGRAFÍA ANEXOS... A TablaA. ObjetivosdecontrolycontrolesdelaNormaISO/IEC 700: B GanttdelPlandeSeguridadInformática... C Entrevista... D Cuestionario... E ValidacióndeInstrumentosdeRecoleccióndeDatos... F ConfiabilidaddelInstrumento... G ResúmenesdeCasos... H Tabladefrecuencia... I Documentacióndeseguridadexistente... J InventariodeHardware... K InventariodeServicios... L Memoriafotográfica... M Perfilesusuarios... N HerramientasdeRastreo,evaluaciónyrupturadecontraseñas... O Comparacióncualitativa... P Directricesparalaauditoría... Q ImplementacionesenseguridadUNEXPO... R CurrículumVítaedelAutor... viii

9 LISTADECUADROS CUADRO pp. Evolucióndelanormativa... 0 Futurodelanormativa... DescripcióndelModeloPDCAaplicadoalosprocesosSGSI... 3 Vulnerabilidadesdivulgadas OperacionalizacióndelasVariables DescripcióndelaPoblación... 4 CriteriosdeConfiabilidad MatrizdeRegistrodelaentrevista CertificacióndeSeguridadInformática ConocimientosdeSeguridadInformática DocumentodeSeguridadInformática Propiedaddelainformación ProgramasdesensibilizaciónenSeguridadInformática PolíticasdeSeguridadInformática Plandecontinuidaddeoperaciones Planderecuperaciónantedesastres Evaluaciónderiesgos... 6 Riesgodevirus... 6 Objetivosdecontrolycontroles GarantíaFuncionalFaseI... 7 NormalizacióndePlataformaenlasEstacionesdeTrabajo... 7 Rediseño y Actualización de la Infraestructura de Red del Rectorado Resumendeproyectos DiseñodelPlandeSeguridadInformática InventariodeActivos... TasacióndeActivos... Realizacióndelanálisisyevaluacióndelriesgo... Enunciadodeaplicabilidad... 4 ImplantaciónyOperación... 5 Implantacióndeloscontroles... 9 Evaluacióndelplandeseguridad... 0 EnumerardetallesdecontactosUnexpo... 3 ix

10 CUADRO NICUnexpo... DNSUnexpo... TablaleyendaDNS... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... x pp

11 LISTADEGRAFICOS GRAFICO pp. EstructuraOrganizativaOficinaCentraldeTecnologíayServicios deinformación... Modelo PDCA aplicado a los procesos SGSI. ISO/IEC 700: Procesodeevaluaciónderiesgo... FormulaCoeficienteAlphadeCronbach... CertificacióndeSeguridadInformática... ConocimientosdeSeguridadInformática... DocumentodeSeguridadInformática... Propiedaddelainformación... ProgramasdesensibilizaciónenSeguridadInformática... PolíticasdeSeguridadInformática... Plandecontinuidaddeoperaciones... Planderecuperaciónantedesastres... Evaluaciónderiesgos... Riesgodevirus... Metodologíadelaselipses.CasoSistemaAdministrativoIntegrado SAI... Diagramadeflujoparalaevaluacióndelaseguridadenredes... EnumerardetallesdecontactosUnexpo... DNSactivosUnexpo... EstadoDNSUnexpo... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... xi

12 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALA UNIVERSIDADNACIONALEXPERIMENTALPOLITECNICA ANTONIO JOSEDESUCRE SEDERECTORAL AUTOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO FECHA:MARZO.007 RESUMEN El presente trabajo de investigación se basó en diseñar un Plan de Seguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.estomotivadoadiversosincidentesdeseguridadenlosservicios deinformaciónqueocurrierontalescomo:ataquesdedenegacióndeservicio(dos)al servidordns(domainnamesystem),presenciadecorreospam(correoelectrónico basura) de manera cotidiana, pérdida o eliminación involuntaria de información institucionalenlascomputadorasdeusuariosadministrativos,computadorasinfectadas de virus y troyanos, así como también la falta de un plan de seguridad de la información que lograse minimizar los riesgos ante las amenazas en las redes de computadoras.todoloanteriormenteexplicadosoportólapremisaderealizarunplan deseguridadinformáticaconelfindedarrespuestaaunaproblemáticarealyplantear una soluciónbasadaen estándaresdeseguridadinternacionales.laelaboracióndel estudioserealizómetodológicamenteatravésdelascuatrofasesfundamentalesenla formulacióndeunproyectofactiblecomoson:faseidiagnóstico;faseiifactibilidad; FaseIIIDiseñodelPlandeSeguridadInformáticayFaseIVEvaluacióndeldiseñodel PlandeSeguridadInformática.Paratodasellasse utilizaronanálisisestadísticosy técnicasderecolecciónyanálisisdela informacióndandocomoresultado mejoras consolidadasenlosaspectosdeseguridaddelainformacióndelsetentayunopor ciento (7%) y una posición estipulada promedio como buena en comparación cualitativaconrespectoalasotrasuniversidadestomadascomoreferencia. Descriptores: Plan de Seguridad Informática, Estándares de Seguridad, Redes de computadoras. xii

13 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DESIGNOFAPLANOFCOMPUTERSCIENCESECURITYFORTHE EXPERIMENTALNATIONALUNIVERSITYPOLYTECHNICAL ANTONIO JOSEOFSUCRE HOSTRECTORAL AUTHOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO DATES:MARZO.007 ABSTRACT Thepresentworkofinvestigationwasbasedondesigningaplanofcomputerscience security for the Experimental National University Polytechnical Antonio José de Sucre hostrectoral.thismotivatedtodiverseincidentsofsecurityintheinformation servicesthathappenedsuchas:attacksofrefusalonwatch(dos)toservantdns (DomainNameSystem),presenceofmailSpam(electronicmailsweepings)ofdaily way,lossorinvoluntaryeliminationofinstitutionalinformationinthecomputersof administrativeusers,infectedcomputersofvirusandtroyanos,aswellasthelackofa planofsecurityoftheinformationthatmanagedtodiminishtherisksbeforethethreats inthenetworksofcomputers.allpreviouslyexplaineditsupportedthepremiseto make a plan ofcomputer science security with the purpose of giving problematic answerarealoneandraisingasolutionbasedoninternationalstandardsofsecurity. Theelaborationofthestudywasmademethodologicallythroughthefourfundamental phasesintheformulationofafeasibleprojectastheyare:phaseidiagnosis;phaseii Feasibility;PhaseIIIDesignoftheplanofcomputersciencesecurityandPhaseIV Evaluationofdesigntheplanofcomputersciencesecurity.Forallofthemstatistical analysesandofharvestingandanalysesoftheinformationwereusedtechnicalgiving likeresultimprovementsconsolidatedintheaspectsofsecurityoftheinformationof theseventyandonepercent(7%)andonestipulatedpositionaveragelike good in qualitativecomparisonwithrespecttotheotheruniversitiestakenlikereference. Description:PlanofComputerscienceSecurity,StandardsofSecurity,Networksof computers. xiii

14 INTRODUCCION Elconceptodeseguridadeninformáticaespococonocidoeimpartidoalosfuturos profesionalesdelasáreastecnológicasenlasuniversidadestradicionalesdenuestropaís, hecho corroborable en los pensa de estudio; sin embargo, se detecta que esta área es neurálgicaunavezquesetienecontactoconlasorganizacionesenelcampolaboral,yaque estas toman muy en serio la confidencialidad, autenticación y disponibilidad de la informaciónmotivadoaqueellorepresentaelementosdeéxitoalaorganización. De acuerdo con el informe de PandaLabs (.006), un estudio realizado por una importanteempresadeseguridadinformáticaarrojóqueelveintiunoporciento(%)del correoelectrónicoquerecibenlasempresasesspam yqueelcincoporciento(5%)del tráficototaldelaredestáinfectadoporalgúntipodesoftwaremalicioso.losempleados utilizanelaccesoainternetconfinespersonalesalmenosunahorapordíaensustrabajos,lo cualsetradujoenpérdidasporlucrocesanteparalasempresasdemásdetrescientosochenta (380)millonesdedolaresduranteelaño.005.Además,sedescubrióqueelsesentayseis porciento(66%)delasvisitasapáginasconcontenidospornográficosseefectúandurantela jornadalaboral,nosóloprovocandopérdidassinoconsumiendoelanchodebanda. Enestesentido,elconstantecambiodecondicionesyplataformasparaelmanejode información,aunadoalaugedenuevastecnologíaseneláreadesistemasyredesconllevana unaminuciosarevisióndelossistemasdegerenciadeseguridaddelainformacióndelas empresasparatenerdirectricesclarassobreelámbitodeseguridad. EltrabajodeinvestigaciónsebasóendiseñarunPlandeSeguridadInformáticapara launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre sederectoral. Enestesentido,eltrabajo deinvestigaciónseestructuróenseis(6)capítulos: el CapítuloI,conformadoporelProblema,enelcualsedesarrollasuplanteamiento,objetivos delainvestigación,justificacióneimportancia. SPAM:sonmensajesnosolicitados,habitualmentedetipopublicitario,enviadosencantidadesmasivas.

15 El Capítulo II, denominado Marco Teórico, contentivo de los antecedentes de investigación,basesteóricas,baseslegalesysistemadevariables. El Capítulo III, Marco Metodológico, contiene la naturaleza y diseño de la investigaciónconladescripcióndelasfasesdelproyectofactible. El Capítulo IV, Propuesta del Estudio, presenta la fase I: Diagnóstico, fase II: FactibilidadylafaseIII:DiseñodelPlandeSeguridadInformática ElCapítuloV,EjecuciónyEvaluacióndelaPropuesta,seefectúalafaseIV. Por último el Capítulo VI, mostrará las conclusiones y recomendaciones de la investigación. Lasteoríasquesustentanlainvestigaciónsonlasdecienciasdelacomputaciónenla especialidad de redes de computadores y puntualmente en seguridad de la información, utilizando como modalidad metodológica la de proyecto factible. Con estas teorías se pretendesoportareldiseñodeunplandeseguridadinformáticaparalauniversidadnacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral,tomandocomoreferenciala normaiso/iec 700:005ylanormaISO/IEC 7799:005.

16

17 CAPITULOI ELPROBLEMA PlanteamientodelProblema Lamayoríadelaspersonasgastanmástiempoyenergíasen hablardelosproblemasqueenafrontarlos. HenryFord EnlasúltimasdosdécadasdelsigloXXyprimeradelXXI,sehanpropiciado cambioseneláreatecnológicaquehanimpulsadolaautomatizacióndelosprocesosde lasdistintasorganizaciones,siendounodeestoscambioselusomasivoderedesde computadorasparalatransmisióndevoz,vídeoydatos.lasredesdecomputadoras comoloexplicatanenbaum(.003), esunconjuntodecomputadorasautómatas interconectadas. Se dice que dos computadoras están interconectadas si pueden intercambiarinformación.elcrecimientodelasredesdecomputadorasesacelerado porunelementotecnológicoasociadoalosnuevostiemposcomoloeselinternet, entendiéndose como la interconexión de redes informáticas que permite a los ordenadores o computadoras conectadas comunicarse directamente, es decir, cada ordenadordelaredpuedeconectarseacualquierotro.tambiénseleconocecomola granredderedesolasúperautopistadelainformación. Paralograrlainterconexióndelasredesserequiriódeunmodeloquesirvierade marco de referencia. Este fue propuesto por la ISO (Internacional Standards Organization)enladécadadelos70 s,dándoleelnombredemodeloosi (Open SystemsInterconnection)elcualestábasadoensietecapas,definiendoparacadauna ISO: International Organization for Standarization (ISO), es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales,queproducenormasinternacionalesindustrialesycomerciales.http://www.iso.org/ 3

18 de ellas servicios, interfaces y protocolos a utilizar. Al respecto Bigelow (.003) explica elmodeloosidescribecómosedesplazalainformacióndeunaaplicación enunequipo,atravésdelared,alaaplicacióndeotroequipo estemodelo se consideraelprincipalmodelodearquitecturaparacomunicacionesyeselmarcodonde encajanlosestándaresexistentes. Otradelasinstitucionesquecolaboraconelámbitodenormalizacionesyestándares eslacomisiónelectrotécnicainternacional(iecporsussiglasinglesas).estaesuna organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas.numerosasnormassedesarrollanconjuntamenteconlaisoyporellose daelnombredenormasiso/iec. Comoconsecuenciadeestablecerunmodeloúnicodereferencia,elmodeloOSI, hapermitidoqueelprocesodecomunicarseatravésdelasredesdecomputadoras evolucione; sin embargo, éste proceso se ve amenazado constantemente por vulnerabilidadesqueaparecenreiteradamenteenlossistemasdeinformaciónytambién como consecuencia de inadecuadas políticas de seguridad o falta de éstas para el manejo de los servicios de información. El problema de seguridad repercute negativamenteenelámbitofinancieroeinclusoenlaimagenorganizacional,motivado aqueesteocasionapérdidadereputaciónyconfianza. LaAcademiaLatinoamericanadeSeguridadInformática(.004)destacaalrespecto que lainformacióneselobjetodemayorvalorparalasempresas.elprogresodela informática y de las redes de comunicación nos presenta un nuevo escenario. La seguridaddelainformaciónesunasuntotanimportante,puesafectadirectamentealos negociosdeunaempresaoindividuo. Porlotanto,larelevanciadetenerseguridaddeinformaciónenlasredesde computadorasesevidente.maiwald(005)explicaque laseguridaddelainformación sonlasmedidasadoptadasparaevitarelusonoautorizado,elmaluso,lamodificación odenegacióndelusodeconocimientos,hechos,datosocapacidades. Existenvariasnormasinternacionalesquebuscangarantizarlaseguridaddela información en las organizaciones. De ellas la que se ha tomado como punto de 4

19 referencia ha sido la norma ISO/IEC 700:005 titulada Sistemas de gestión de seguridaddelainformación Requerimientos.Estedocumentoestádestinadoaser utilizado como punto de partida en las organizaciones que deseen implementar seguridaddelainformaciónycuyoorigenestabasadoenlanormabritishstandards InstitutionBS7799,lacualfueusadahastamediadosdelaño.005comoelemento para certificar a las empresas sobre los estándares de seguridad. Este estándar internacional ha sido preparado con la finalidad de proporcionar un modelo para establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsistemade GestióndeSeguridaddelaInformación(SGSI). Además,lanormaISO/IEC 7799:005titulada Códigoparalaprácticadela gestióndelaseguridaddelainformación,estableceloslineamientosyprincipios generalesparainiciar,implementar,mantenerymejorarlagestióndelaseguridaddela información.estanormaescomplementodelaiso/iec 700:005 Enesteordendeideas,lasUniversidadesVenezolanascomoorganizacionesenlas cuales se prestan servicios de información han utilizado como parte de sus herramientastecnológicaslasredesdecomputadores.esevidentequeestasnoescapan delosproblemasdeseguridaddelainformaciónplanteadosconantelación,talycomo sehapodidocorroborarporobservacióndirectadelinvestigadorenlauniversidad ExperimentalPolitécnica AntonioJosédeSucre,endonde,hanocurridoincidentes deseguridadenlosserviciosdeinformacióntalescomo:ataquesdedenegaciónde servicioalservidordns(domainnamesystem),presenciadecorreospam(correo electrónico basura) de manera cotidiana, perdida o eliminación involuntaria de información institucional en los computadores de usuarios administrativos, computadoresinfectadosdevirus,troyanosylanoexistenciadeunplandeseguridad delainformaciónquelogreminimizarlosriesgosantelasamenazas. EstaUniversidadfuecreadael0defebrerode.979,medianteDecretoEjecutivo No , El área tecnológica es dirigida por la Oficina Central de Tecnología y Servicios de Información (OCTSI), creada el 04 de mayo de.005 en su sesión extraordinaria no. 005 E09 05 de Consejo Universitario de la UNEXPO, en 5

20 concordanciaconloslineamientosdetecnologíayserviciosdeinformación,aprobado el0dejuliodel.004segúnresolucióndeconsejouniversitariono.004 E4 06.A ellaperteneceelgrupodeseguridadycomosemuestraenelgráfico y cuyasfuncionesson:. Aplicar y velar por el cumplimiento de las medidas de seguridad en comunicaciones,serviciosdeinformaciónyplataformatecnológica.. Realizar,mantenerygarantizarlaintegridaddelainformaciónmanejada,a travésdeprocedimientosderespaldosydeseguridad. 3. Aplicar las medidas de seguridad establecidas para la operación y funcionamientodelosrecursostecnológicosydeinformacióndelainstitución. 4. Realizarelmonitoreocontinuodelaseguridad,enlaplataformatecnológicade lainstitución. 5. Llevarestadísticassobreintentosdeaccesonoautorizadosalosserviciosde informaciónylaredcorporativadedatosdelainstitución. 6. Implantarnormasyprocedimientosparalaasignacióndeprioridadesyrecursos requeridosparalapuestaenproduccióndeplanesdeseguridad. 7. Garantizarlaseguridadenelintercambiodeinformaciónentrelosusuariosy losserviciosdeinformaciónenproducción. 8. Realizarlasactividadesqueporsunaturalezacorrespondenaláreadesoportey mantenimientodelaseguridad. Gráfico.EstructuraOrganizativaOficinaCentraldeTecnologíayServiciosdeInformación. Fuente:ReglamentodeTecnologíayServiciosdeInformacióndelaUNEXPO(.005) 6

21 Por otra parte, se evidencia un orden jurídico Institucional como son los LineamientosdeTecnologíayServiciosdeInformaciónyelReglamentodeTecnología yserviciosdeinformacióndelaunexpo,ambosdecaráctermandatariosenrelación aquedebensercontempladolosaspectosdeseguridaddelainformacióndentrodela Universidad. Conesteescenarioplanteadoydecontinuarloshechosirregularespresentados dentrodelainstituciónenrelaciónaltratamientodelainformación,podríangenerarse responsabilidadeslegalesalpersonalencargadodemanteneryadministrarlatecnología yserviciodeinformacióndentrodelauniversidad. Porloantesexpuesto,seproponediseñarunPlandeSeguridadInformáticaparala UniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre sederectoral yparaello seestablececomoreferencialanormaiso/iec 700:005ylanorma ISO/IEC 7799:005. En este punto se hace indispensable analizar minuciosa y detalladamentelasrespuestasalassiguientesinterrogantes: Cómo está actualmente la seguridad informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre,enlasedeRectoral?. Cuál es la factibilidad de diseñar un Plan de Seguridad Informática para la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. QuécaracterísticasdebetenereldiseñodeunPlandeSeguridadInformáticaparala Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. CualseráelresultadodeevaluareldiseñodelPlandeSeguridadInformática?. Lasrespuestasaestasinterrogantespermitiránproponereldiseñodel Plande SeguridadInformáticaparalaUniversidadNacionalExperimentalPolitécnica Antonio JosédeSucre sederectoral,tomandocomoreferencialanormaiso/iec 700:005 ylanormaiso/iec 7799:005. 7

22 ObjetivosdelaInvestigación ObjetivoGeneral Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. ObjetivosEspecíficos Diagnosticarlasituaciónactualenlaqueseencuentralaseguridadinformáticaen launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre.sede Rectoral. Determinarlafactibilidadoperativa,técnicayeconómicade diseñarunplande Seguridad Informática para la Universidad Nacional Experimental Politécnica AntonioJosédeSucre sederectoral. Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. EvaluareldiseñodelPlandeSeguridadInformáticaparalaUniversidadNacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. JustificacióneImportancia Eldesarrollodelacienciadelacomputaciónsehavistoafectadafavorablemente dadolossignificativosavancesdelosúltimostreinta(30)añosenelámbitodelas telecomunicacionesusandolosmedioselectrónicosinformáticoscomoelinternety las redes de comunicaciones como forma de masificación de información. Esta masificación ha obligado a los administradores de redes de computadores a incorporarseenlaluchaporofrecerseguridaddelainformaciónenlosentornosque administran.lainformaciónqueviajaatravésdelasredesessusceptibleaservista, 8

23 generadaoalteradaporterceros.deallílanecesidaddeofrecerseguridadentodoslos nivelesdeinformacióndelasorganizaciones. En este sentido, las universidades como organizaciones de servicios deben incorporarsedentrodelosestándaresqueinvolucrenseguridadenlainformación.las leyes venezolanas brindan un marco legal donde la información tiene un papel preponderante y su tratamiento en lo relacionado a seguridad repercute sobre las responsabilidadesdelosqueadministranlatecnologíasyserviciosdedeinformación. LaUniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre como universidadpública,seencuentrainteresadaenbrindarseguridadalainformaciónque viajaatravésdesusredesdecomputadoresporloquesehasurgidolanecesidadde diseñarunplandeseguridadinformáticaparaellaensusederectoral. Coneldiseñopropuestoseesperaofrecerunasoluciónefectivaalosproblemasde seguridadenlauniversidadparabrindarconfiabilidad,confidencialidadynorepudio delainformaciónminimizandolosriesgos.tambiénaportarunaalternativa paralas otras universidades o instituciones con problemática similar. De igual manera, se esperaquelainvestigaciónsirvacomobaseparafuturasinvestigacionesenelárea. AlcancesyLimitaciones DentrodelosalcancesquesetieneeseldiseñodePlandeSeguridadInformática tomandocomoreferencialanormaiso/iec 700:005e ISO/IEC 7799:005, se realizaráparaelcasoparticularde lareddelauniversidadnacionalexperimental Politécnica AntonioJosédeSucre enlasederectoral. Encuantoalaslimitacionesesimportantetomarencuentaquelosaspectosque conforman la confidencialidad de la información son factor preponderante en el desarrollodelainvestigaciónyesporelloqueserealizalosllamadosrespectivosenlos casosdondeaplique.lainformaciónmostradadelainstituciónesreferencialysolo paralosefectosacadémicosrespectivos. 9

24 CAPITULOII MARCOTEORICO. AntecedentesdelaInvestigación Losqueseenamorandelaprácticasinlateoríasoncomolos pilotossintimónnibrújula,quenuncapodránsaberadónde van. LeonardoDaVinci Todoestudiorequiere,larevisióndelaliteraturaexistentesobretemasrelacionados coneltrabajoqueseelabora,porloquesehacenecesarialaconsultadeestudios realizados con el mismo. En el presente capítulo se citan investigaciones que han contribuidoagenerarantecedentesalapropuestade diseñarunplandeseguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.entrelostrabajospresentadossedestacanlossiguientes: Murillo(.00) ensutrabajo DiseñoyAplicacióndeunSistemaIntegralde SeguridadInformáticaparala UniversidaddelasAméricas(UDLA),tienecomo objetivo general de proyecto diseñar y aplicar un esquema integral de seguridad informáticabasadoenun estudio de metodologíasdeseguridadpara satisfacer los requerimientosusuario infraestructura administradordelareddelaudla.alo largodelainvestigaciónsepresentanlosaspectosrelevantesdelateoríadeseguridad informática aplicada a las necesidades de la red UDLA, conceptos básicos de la seguridadinformática,lasituaciónactualdelaudla.tambiéncomprendeunanálisis delestadodelarteenlaseguridadinformáticaylospuntosmásrelevantessobrela seguridadenelsistemaoperativounix.exponenlosconceptosmásrelevantessobre criptología,firewallsyherramientasexistentesdescribiendolasíntesisdeestetrabajo: porunlado,elhacker sworkbenchcomoesquemadedeteccióndevulnerabilidades 0

25 de la red UDLA y por otro, el Administrator s work bench como esquema de prevencióndeataques.seexplicanlaspartesqueconformanelesquemadeseguridad propuesto,suimplantación,susobjetivos,ylasnecesidadesquecubren presentando losresultadosobtenidoseneltrabajo,elestadoactualdelossistemasdesarrollados,los beneficiosprobadosenunaredlocalyenlaredudla.comoconclusióncorroborala necesidaddeincluirunáreaexclusivamentealmonitoreoycontroldelaseguridad informáticaencualquierreddecómputo.porotrolado,laspolíticasyprocedimientos establecidosnosonreflejadosmotivadoasucarácterdeconfidencialidadyporúltimo, seevidencialaexistenciademúltiplesherramientasgratuitasparaimplantarseguridad enlasredesdecomputo. Larelaciónquepresentaestetrabajoalapropuestaqueseestápresentandosebasa en el diseño y aplicación de un esquema integral de seguridad informática considerandoporunladounestudiodemetodologíasdeseguridadparasatisfacerlos requerimientosusuario infraestructura administrador,yporelotroelusodelos conceptos más relevantes sobre criptología, firewalls y herramientas existentes, así comoelhacker sworkbenchcomoesquemadedeteccióndevulnerabilidadesderedy eladministrator sworkbenchcomoesquemadeprevencióndeataques. CeriniyPrá(.00)desarrollaronunaauditoríadeseguridadinformáticayun análisisderiesgosenunaempresadeventadeautomotorestitulado Plandeseguridad informática,conelfindeelevarlaconsistenciadelossistemasdeinformaciónyde control, la eficiencia y efectividad de los programas y el cumplimiento de los reglamentosynormasprescritas.lametodologíaempleadafueladeinvestigaciónde campo dando como resultado las debilidades encontradas y recomendaciones que contribuyenamejorarsuniveldeseguridad.estosellevóacabocomomedioparael desarrollodeunplandeseguridadinformática,dondesedefinieronloslineamientosde laplaneación,eldiseñoeimplantacióndeunmodelodeseguridadconelobjetivode establecerunaculturadeseguridadenlaorganización. Elpropósitodeestablecerunplanesprotegerlainformaciónylosactivosdela organización,tratandodeconseguirconfidencialidad,integridadydisponibilidaddelos

26 datos; ylasresponsabilidadesquedeben asumircadaunode losempleadosde la organización,hechorelevanteparaeldesarrollodelapresenteinvestigación,yaque aporta una metodología de referencia para realizar un plan de seguridad de información. MelamedyRipepi (.00).desarrollaronun diseñoeimplantacióndeuna arquitecturaintegradadeprotecciónparalaplataformadecorreoelectrónicoenuna empresa de telecomunicaciones incluyendo tanto la intranet como extranet. El proyectoconsistióendiseñareimplantarunaarquitecturaintegradadeprotecciónpara el correo electrónico en la Corporación CANTV3. Con esta arquitectura se buscó reducirlasposiblesvulnerabilidadesdeseguridad.estetrabajoanalizalainformación manejada en la Corporación con el fin de diseñar políticas y procedimientos de seguridadparalosempleados,quepermitieronreforzarelesquemadeseguridaddela informaciónvíacorreoelectrónico.comoconclusiónselograeldiseñoeimplantación de procedimientos automáticos para la instalación de certificados digitales, y esto permiteelintercambiodeinformaciónseguradentrodelaplataformadecorreodela Corporación.Delmismomodo,seautomatizóelprocedimientodedistribucióndelas clavespúblicasyprivadas.conestaactividadsereduceaun00%laprobabilidadde ocurrenciadeerroreshumanosalmomentodeejecucióndeestetipodeactividadesy se garantiza el éxito en la implantación de la arquitectura de seguridad para la plataformadecorreoenformauniformeyacordealoslineamientosestablecidosenel trabajodegrado. EltrabajopresentadoporMelamedyRipepilograestablecerconceptosclarosy básicosparalosaspectosconcernientesalaseguridadinformática,asícomoeldiseño depolíticasyprocedimientosdeseguridadparalosempleados;hechorelevanteala horadeestablecerantecedentesdeinvestigacióneneláreaespecífica. DeSouza(.00)presentóenlaUniversidadFederaldeSantaCatarinaunaTesis titulada Gerenciadeseguridaddeinformaciónensistemasdeteletrabajo. Como 3 CANTV:Proveedordeaccesoainternet,serviciodeaccesovíadial upyconexionesdedicadascon adslyframerelay.http://www.cantv.net/

27 objetivodelagerenciadeseguridaddeinformación,realizóunarevisiónparaverificar comolasempresasbrasilerasestabanadministrandosusprogramasdeteletrabajocon relaciónaseguridaddeinformación.comobasetomófundamentosteórico empíricosy losresultadosdeinvestigaciones.lametodologíautilizadafueunmodelodeseguridad para garantizar la confidencialidad de la información en sistemas de teletrabajo, partiendodeuncontextodeaccesoremotoomodelodelineado,implementadoapartir delanormaiso/iec7799.losresultadosobtenidos,pormediodelaaplicacióndel modelo en una situación real, permitió validar la aplicación de la metodología propuestacomouninstrumentoefectivoparalagerencia. Larelacióndelapresenteinvestigaciónsecentraenlautilizacióndelanorma ISO/IEC7799paralograr unamejor seguridadde lainformaciónensistemas de teletrabajo.elusodeestanormaesantecedenteineludibledeestainvestigación. Hamana(.003)ensutrabajodegradotitulado Elementosbásicosparamodelos deseguridadenorganizacionesvenezolanas.realizaunanálisis conceptualsobre seguridadrespondiendolassiguientesinterrogantes: quéesseguridad?, cuálesson las amenazas y las herramientas con las que se cuenta?. Se enumeran los puntos necesarios para desarrollar un modelo base parala seguridad de las redes en una organización. Del análisis comparativo de la teoría, se logró extraer elementos indispensablesenlacomprensiónydesarrollodeltrabajo,quesirvencomopuntode apoyoparalaimplantacióndemodelospropios,dondelapartetécnicaseencargade evaluaryponerenfuncionamientotodoelequipamientoylogísticaparacumplircon loslineamientosdeseguridadquesonplanteadosdesdelaaltagerencia,acordeconla visióndelnegocio.lametodologíautilizadafueunestudiodeltipodescriptivono experimental.dentrodelaconclusionesobtenidassepuedeconsiderarqueelprimer pasoaseguirporunaempresaparaserseguraesidentificarlospuntosdébilesdesu red.larealizacióndetests, estudiosdetalladosdepuntosdeentradayanálisisde protocolosdeaplicacionespuedenformarpartedeestaetapa.apartirdelosresultados, informe en mano, se procede a evaluar qué áreas requieren mayor trabajo para garantizarquenoseránvulneradasporeventualesatacantes. 3

28 ElmodelodeseguridadparalaorganizaciónpropuestoporHamana,presentauna referenciaaseguirenlaexhaustivarevisiónbibliográficadeestainvestigación,como elementoqueayudeavislumbrarlasituacióndelasempresasenvenezuelaenloque conciernealaseguridadinformática. Endefinitivasepuededecir,quelostrabajosdeMurillo,Medina, Melamedy Ripepi exponenundiseñoyaplicabilidaddeesquemasintegralesdeseguridad,así comoconceptossólidosyrelevantesalahoradelainvestigación.hamana,desouza, CeriniyPrácontribuyenenlorelacionadoamodelos,políticas,lineamientosynormas utilizadasparalaimplementacióndeseguridadinformática. En este sentido, es evidente que las investigaciones señaladas guardan una estrecha relación con el objetivo general de este trabajo de grado, tanto en lo relacionadoconlaseguridaddelainformación,comoenlasnormativas,políticasy lineamientosnecesariosparaelresguardodelasmismas. BasesTeóricas Entrelosenfoquesteóricosquesustentanesteestudio,sehanconsideradolos supuestos de la Historia, Seguridad, Estándares de Seguridad, Norma ISO/IEC 700:005,NormaISO/IEC7799:005,PolíticasdeSeguridad,Administracióndel Riesgo,entreotras.Enesesentido,separtedeunenfoqueepistemológicosistémico, basado en una teoría que concibe la estructura como una concepción, que según Hurtado(.000), esaquelladondelarealidadesvistabajounaconcepciónsistemática, enlacuallaintegracióndeelementoscumplefuncionesyconfiguraestructuras. Historia Lahistoriadelaseguridadinformáticaseremontaalostiemposdelosprimeros documentosescritos.dehecho,lanecesidaddeinformaciónseguratuvosuorigenenel año.000antesdecristo.comoloexplica González(.003)losegipciosfueronlos primerosenutilizarjeroglíficosespecialesparacodificarlainformacióny,segúnpaso 4

29 eltiempo,lascivilizacionesdebabilonia,mesopotámiaygreciainventaronformasde protegersuinformaciónescrita.lacodificacióndelainformación,queeselbasedel cifrado,fueutilizadaporjuliocesar,ydurantetodalahistoriaenperíodosdeguerra, incluyendolasguerrascivilesyrevolucionarias,ylasdosguerrasmundiales.unade lasmáquinasdecodificaciónmejorconocidasfuelaalemanaenigma4,utilizadaporlos alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo,ygraciasalosesfuerzosdelproyectoultradelosestadosunidosdeamérica, entreotros,lacapacidaddedescifrarlosmensajesgeneradosporlosalemanesmarcó unéxitoimportanteparalosaliados. Enlosúltimosdiezaños,laimportanciadelaseguridadinformáticasehapuestode manifiestoporalgunashistorias.unadeellasfueladelgusanodeinternet,en.988, queseextendiópordecenasdemilesdecomputadores,comoresultadodelaobradeun hacker5llamadorobertmorris.habíaunpiratainformáticoen.995enalemaniaque seintrodujoencasi30sistemasapartirdeunobjetivoquesehabíapropuestoasí mismo de casi 500. Más recientemente, en febrero de.995, el arresto del pirata informáticomásbuscado,kevinnitnick,revelólasactividadescriminalesqueincluían el robo de códigos,deinformacióny de otrotipodedatossecretos duranteaños. Claramente,laampliautilizacióndelossistemasinformáticoshapuestoenevidenciala importancia de la seguridad informática. El objetivo principal de la seguridad informáticaesprotegerlosrecursosinformáticosdeldaño,laalteración,elroboyla pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listadosdeimpresorayengeneral,losdatos. 4 5 Enigma:Eraunamáquinaconmecanismodecifradorotativoutilizadotantoparacifradocomo paradescifrado,http://es.wikipedia.org/wiki/enigma_ Hacker:(delingléshack,hachar)eselneologismoutilizado parareferirseaunexperto(véase Gurú)envariasoalgunaramatécnicarelacionadaconlastecnologíasdelainformaciónylas telecomunicaciones: programación, redes de computadoras, sistemas operativos, hardware de red/voz,etc.http://es.wikipedia.org/wiki/hacker 5

30 Seguridad SegúnlaRealAcademiaEspañola(.006),lodefine...comoestadodeseguro; garantíaoconjuntodegarantíasquesedaaalguiensobreelcumplimientodealgo... Siseaplicaelconceptoanterioraseguridaddelainformación,sedebeampliarel conceptoindicandoqueesunacaracterísticadecualquiersistemaqueindiquequeeste últimoestálibredepeligro,dañooriesgo.seentiendecomopeligroodañotodo aquelloquepuedaafectarsufuncionamientodirectoolosresultadosqueseobtienen delmismo.paralamayoríadelosexpertoselconceptodeseguridadenlainformática esutópicoporquenoexisteunsistemacienporcientoseguro. SegúnGomez(.006)paraqueunsistemasepuedadefinircomosegurosedebe dotardecuatrocaracterísticasalmismo: Integridad: requiere que la información solo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creaciónyreactuacióndemensajestrasmitidos. Confidencialidad:requierequelainformaciónseaaccesibleúnicamenteporlas entidadesautorizadas. Disponibilidad: requiere que los elementos del sistema informático estén disponiblesparalasentidadesautorizadascuandolosnecesiten. Norepudio: ofreceprotecciónaunusuariofrenteaotrousuarioquenieguen posteriormentequeserealizóciertacomunicación.estaprotecciónseefectúa por medio de una colección de evidencias irrefutables que permitirán la resolucióndecualquierdisputa.elnorepudiodeorigenprotegealreceptorde queelemisornieguehaberenviadoelmensaje,mientrasqueelnorepudiode recepciónprotegealemisordequeelreceptornieguehaberrecibidoelmensaje. PorsuparteMaiwald(.005)ladefinecomo Medidasadoptadasparaevitareluso noautorizado,elmaluso,lamodificaciónoladenegacióndelusodeconocimiento, hechos,datosocapacidades.endefinitivalaseguridaddelainformacióneselnombre 6

31 dadoalospasospreventivosquesetomanparaprotegertantolainformacióncomosus capacidades. EstándaresdeSeguridad Enloquerespectaaestándaresdeseguridad,laUniversidadNacionaldeColombia y escert6 Universidad Politécnica Catalunya (.005) exponen que existen varios estándaresinternacionalesrelacionadosconseguridadinformáticaqueseconsideran importantesenlaactualidadoquedebenserreferenciadosporsuimportanciahistórica. Enestesentido,estánclasificadosenseis(6)clasesdeestándarescomoson:parala administración de seguridad de la información, para evaluación de seguridad en sistemas,paradesarrollodeaplicaciones,paraserviciosfinancieros,parariesgosypara autenticación. Paralaadministracióndeseguridaddelainformación: LaInternetEngineeringTaskForce(IETF7)elaboróelRFC896SiteSecurity Handbook, que ofrece una guía práctica para quienes intentan asegurar servicioseinformación. ElestándarbritánicoBS7799esunestándaraceptadoampliamentequehasido utilizado como base para elaborar otros estándares de seguridad de la información,incluyendoeliso7799yeliso700.fuedesarrolladoporel BritishStandardsInstitute. LaAgenciaFederalParaSeguridaddeInformaciónenAlemaniahageneradoel IT Baseline Protection Manual. Este documento presenta un conjunto de escert: Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas. IETF:InternetEngineeringTaskForce,encastellanoGrupodeTrabajoenIngenieríadeInternet. Esunaorganizacióninternacionalabiertadenormalización,quetienecomoobjetivoselcontribuir alaingenieríadeinternet,actuandoendiversasáreas,talescomotransporte.http://www.ietf.org/ RFC: Un documento Request For Comments (abreviado como RFC), que se traduce como "peticióndecomentarios",esundocumentocuyocontenidoesunapropuestaoficialparaunnuevo protocolodelaredinternet(originalmentedearpanet),queseexplicacontododetalleparaque encasodeseraceptadopuedaserimplementadosinambigüedades.http://www.rfc editor.org/ 7

32 métricasdeseguridadrecomendadasosafeguards,comosedenominanenel manual,parasistemasittípicos. La Organización para la cooperacióny el desarrollo económicos, en inglés (OECD9)creódirectricesparalaseguridaddesistemasyredesdeinformación. lascualespuedenserrevisadasenguidelinesforthesecurityofinformation Systems. Estándaresparaevaluacióndeseguridadensistemas: La International Organization for Standardization (ISO) ha elaborado el estándar IS Este estándar, The Common Criteria for Information TechnologySecurityEvaluationv.(ISOIS5408)esunamezclamejorada deitsec,elcanadiancriteria,yelusfederalcriteria. LaSerieArcoIris RainbowSeries (OrangeBook)(EE.UU.)Unaimportante seriededocumentoseslarainbowseries,quedelineavariosestándaresde seguridaddesarrolladosenlosestadosunidos. ElReinoUnidoelaboróelInformationTechnologySecurityEvaluationCriteria (ITSEC0) a comienzos de los años 90, y es otro estándar históricamente importante.fueelaborado,enalgunosaspectos,basándoseenelorangebook. Estándaresparadesarrollodeaplicaciones: ElSoftwareEngineeringInstitutelideróeldesarrollodelCapabilityMaturity Model(CMM),queesunmétodoparagarantizarmadurezenprocesos. UnderivadodelCMMeselSystemSecurityEngineeringCapabilityMaturity Model(SSE CMM). ElSSE CMMdescribelascaracterísticasesencialesdel procesodelaingenieríadelaseguridaddeunaorganizaciónquedebenexistir paraasegurarlabuenaingenieríadelaseguridad. Estándaresparaserviciosfinancieros: ISO 3:99 Banking and Related Financial Services; Sign on Authentication 9 0 OECD:OrganisationforEconomicCo operationanddevelopment. ITSEC:InformationTechnologySecurityEvaluationCriteria.http://en.wikipedia.org/wiki/ITSEC 8

33 ISO 3569:997 Banking and Related Financial Services Information SecurityGuidelines Estándaresparariesgo: AcquisitionRiskManagement(EE.UU.)ElSoftwareEngineeringInstitutetiene algunosdocumentossobreacquisitionriskmanagement. Estándaresparaautenticación: ISO 3:99 Banking and Related Financial Services; Sign on Authentication Debidoalanecesidaddeestablecerseguridadenlainformaciónqueposeenlas organizacioneseraprecisolaexistenciadealgunanormativaoestándarqueenglobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla.anteestadisyuntivaaparecióelbs7799,oestándarparalagestióndela seguridaddelainformación,unestándardesarrolladoporelbritishstandardinstitute en.999enelqueseenglobantodoslosaspectosrelacionadosconlagestióndela seguridaddelainformacióndentrodelaorganización.estanormativabritánicageneró enlaactualiso/iec700:005ylaiso/iec7799:005. LaISO/IEC700:005ylaISO/IEC7799:005consideranalaorganización comounatotalidadytienenenconsideracióntodoslosaspectosquesepuedenver afectadosantelosposiblesincidenteshaproducirse.estasnormaspretendenaportarlas basesparatenerenconsideracióntodosycadaunodelosaspectosquepuedesuponer unincidenteenlasactividadesdenegociodelaorganización. Estanormaesaplicableacualquierempresa,seacualseaeltamaño,laactividadde negocio o el volumen del mismo. Esto es lo que se denomina el principio de proporcionalidaddelanorma;esdecir,quetodoslosaspectosqueaparecenen la normativadebensercontempladosytenidosencuentaportodaslasorganizacionesala horadeprotegersusactivos,yladiferenciaradicaráenqueunagranorganización tendráqueutilizarmásrecursosparaprotegeractivossimilaresalosquepuedeposeer una pequeña organización. De la misma forma, dos organizaciones que tengan 9

34 actividadesdenegociomuydiferentes,nodedicaránlosmismosesfuerzosaproteger losmismosactivosdeinformación. Enpocaspalabras,estanormadebetenersecomoguíadelosaspectosquedeben tenercontroladosynoquieredecirquetodoslosaspectosqueenellaaparecentienen queserimplementadosconlosúltimosavances.tododependerádelanaturalezadela propia organización. De la relevancia demostrada de la normativa de seguridad se muestraacontinuaciónelcuadroevolucióndelanormativa. Cuadro Evolucióndelanormativa. Año Norma 995 BS7799 : BS7799 : RevisiónBS7799 : ISO/IEC7799: RevisiónBS7799 : RevisiónISO/IEC7799: RevisiónBS7799 : ISO/IEC700:005(Normainternacionalcertificable) Nota:Autor(.006) ElconjuntodeestándaresqueaportaninformacióndelafamiliaISO 700x,quese debentenerencuentacomomarcoreferencialenmateriadeseguridadysemuestranen elcuadroacontinuación: 0

35 Cuadro Futurodelanormativa. Norma Descripción Añode publicación ISO7000 VocabularioyDefiniciones 007 ISO700 ISMS EstándarCertificable(revisedBS7799Part:005)Publicado 005 el5deoctubredel005 ISO700 CódigodeBuenasPrácticas,relevodeISO7799:005.Publicadoel 007 5dejuniodel005 ISO7003 GuíaparalaImplantación(bajodesarrollo) 008 ISO7004 MétricaseIndicadores(bajodesarrollo) 008 ISO7005 Gestión de Riesgos (BS :006) (basado e incorporado a 008 ISO/IEC3335MICTSPart)(bajodesarrollo) ISO7006 ContinuidaddeNegocio/RecuperaciónDesastres Nota:Autor(.006) 007 NormaISO/IEC 700:005 SegúnlaNorma:Elestándarinternacionalhasidopreparadoconlafinalidadde proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantenerymejorarunsistemadegestióndeseguridaddelainformación(sgsi).la adopcióndeunsgsidebeserunadecisiónestratégicaparaunaorganización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados, el tamañoyestructuradelaorganización.seesperaqueestosysussistemasdeapoyo cambien a lo largo del tiempo. Se espera quela implementación de un SGSI se extiendaenconcordanciaconlasnecesidadesdelaorganización;porejemplo,una situaciónsimplerequiereunasoluciónsgsisimple. Esteestándarinternacionalpromuevelaadopcióndeunenfoquedelprocesopara establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsgsideuna organización.laorganizaciónnecesitaidentificarymanejarmuchasactividadespara poder funcionar de manera efectiva. Cualquier actividad que usa recursos y es manejadaparapermitirlatransformacióndeinsumosenproductos,sepuedeconsiderar

36 unproceso.confrecuenciaelproductodeunprocesoformadirectamenteelinsumo delsiguienteproceso. Laaplicacióndeunsistemadeprocesosdentrodeunaorganización,juntoconla identificaciónylasinteraccionesdeestosprocesosysugestión,puedeconsiderarseun enfoquedelproceso. Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar internacional fomenta que sus usuarios enfaticen la importanciade: Entender los requerimientos de seguridad de la información de una organizaciónylanecesidaddeestablecerunapolíticayobjetivosparala seguridaddelainformación; Implementaryoperarcontrolesparamanejarlosriesgosdelaseguridadde lainformación; MonitorearyrevisareldesempeñoylaefectividaddelSGSI;y Mejoramientocontinúoenbasealamedicióndelobjetivo. ElestándarinternacionaladoptaelmodelodelprocesoPlanear Hacer Chequear Actuar(PDCA),elcualsepuedeaplicaratodoslosprocesosSGSI.ElGráficomuestra cómounsgsitomacomoinsumolosrequerimientosyexpectativasdelaseguridadde lainformacióndelaspartesinteresadasyatravésdelasaccionesyprocesosnecesarios produce resultados de seguridad de la información que satisfacen aquellos requerimientos yexpectativas.el Gráfico yel cuadro 3 también muestran los vínculosenlosprocesospresentadosenlascláusulas4,5,6,7y8delanormayla descripcióndelmodelorespectivamente. LaadopcióndelmodeloPDCAtambiénreflejarálosprincipiostalcomose establecenenloslineamientosoecd(.00)quegobiernanlossistemasyredesde seguridaddelainformación.esteestándarinternacionalproporcionaunmodelosólido paraimplementarlosprincipiosenaquelloslineamientosquegobiernanlaevaluación LineamientosOECDparaSistemasyRedesdeSeguridaddelaInformación HaciaunaCultura deseguridad.parís:oecd,julio00.www.oecd.org.

37 del riesgo, diseño e implementación de seguridad, gestión y re evaluación de la seguridad. Gráfico:ModeloPDCAaplicadoalosprocesosSGSI.ISO/IEC 700:005 Cuadro3 DescripcióndelModeloPDCAaplicadoalosprocesosSGSI Planear(establecer elsgsi) Hacer(implementar yoperarelsgsi) Chequear (monitoreary revisarelsgsi) Actuar(mantenery mejorarelsgsi) Establecerpolítica,objetivos,procesosyprocedimientosSGSIrelevantesparamanejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordanciaconlaspolíticasyobjetivosgeneralesdelaorganización. Implementaryoperarlapolítica,controles,procesosyprocedimientosSGSI. Evaluary,dondeseaaplicable,medireldesempeñodelprocesoencomparaciónconla política,objetivosyexperienciasprácticassgsiyreportarlosresultadosalagerencia parasurevisión. Tomaraccionescorrectivasypreventivas,basadasenlosresultadosdela auditoría interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramientocontinuodelsgsi. Nota:ISO/IEC 700:005 NormaISO/IEC 7799:005 Esteestándarinternacionalestableceloslineamientosyprincipiosgeneralespara iniciar,implementar,mantenerymejorarlagestióndelaseguridaddelainformación en una organización. Los objetivos delineados en este estándar internacional proporcionan un lineamiento sobre los objetivos de gestión de seguridad de la informacióngeneralmenteaceptados. 3

38 Losobjetivosdecontrolyloscontrolesdeesteestándarinternacionalsondiseñados paraserimplementadosysatisfacerlosrequerimientosidentificadosporunaevaluación delriesgo.esteestándarinternacionalpuedeservircomounlineamientoprácticopara desarrollarestándaresdeseguridadorganizacionalyprácticasdegestióndeseguridad efectivasyparaayudaraelaborarlaconfianzaenlasactividadesinter organizacionales. Este estándar contiene cláusulas de control de seguridad conteniendo colectivamente un total de 39 categorías de seguridad principales y una cláusula introductoriaquepresentalaevaluaciónytratamientodelriesgo. Lasoncecláusulasyelnúmerodecategoríasdeseguridadprincipalesincluidas dentrodecadacláusulason: a) PolíticadeSeguridad(); b) OrganizacióndelaSeguridaddelaInformación(); c) GestióndeActivos(); d) SeguridaddeRecursosHumanos(3); e) SeguridadFísicayAmbiental(); f) GestióndeComunicacionesyOperaciones(0); g) deacceso(7); h) Adquisición,DesarrolloyMantenimientodeSistemasdeInformación(6); i) GestióndeIncidentesdeSeguridaddelaInformación(); j) GestióndelaContinuidadComercial(); k) Conformidad(3). PolíticasdeSeguridad. Maiwald(.005),planteaque lapolíticadeseguridaddefinelosrequerimientos técnicosparalaseguridadensistemasdecómputoyelequipoderedes.definela maneraenqueunadministradorderedesosistemasdeberíaconfigurarunsistema respectoalaseguridad.estaconfiguracióntambiénafectaráalosusuarios,yalgunos delosrequerimientosestablecidosenlapolíticadeberíancomunicarsealacomunidad 4

39 deusuariosengeneral.laresponsabilidadprincipalparalaimplementacióndeesta políticarecaesobrelosadministradoresdelsistemaydelared,siempreconelrespaldo delaadministración. Laspolíticasproporcionanlasreglasquegobiernancómodeberíanserconfigurados los sistemas y como deberían actuar los empleados de una organización en circunstancias normales y cómo deberían reaccionar si se presentan circunstancias inusuales.propiamentedicho,lapolíticarealizadosfuncionesprincipales: Defineloquedeberíaserlaseguridaddentrodeunaorganización. Poneatodosenlamismasituación,demodoquetodoelmundoentiendaloque seesperadeellos. Haytresseccionesdecadapolíticaquesoncomunesyqueseexaminaráncomosigue: Propósito: cada política y procedimiento debería tener un propósito bien definido, que articule claramente por qué fueron creados tal política o procedimiento,yquebeneficioesperalaorganizaciónderivardelosmismos. Ámbito:Cadapolíticayprocedimientodeberíatenerunasecciónquedefinasu aplicabilidad.porejemplo,unapolíticadeseguridaddebeaplicarseatodoslos sistemasdecómputoyderedes.unapolíticadeinformaciónpuedeaplicarsea todoslosempleados. Responsabilidad: La sección de responsabilidad de una política o procedimiento define quién se hará responsable por la implementación apropiadadeldocumento.quienquieraqueseadesignadocomoelresponsable deaplicarunapolíticaoprocedimientodebesercapacitadodemaneraadecuada yestarconscientedelosrequerimientosdeldocumento. PlandeSeguridad Sanz(.006)explicaqueelplandeseguridadeslaherramientautilizadaporlas empresasparagarantizarlaseguridaddesussistemasyservicios.consisteenunaserie de normas, procedimientos y políticas que se implantan en la estructura de una 5

40 organización con el objetivo de detectar, corregir y prevenir todos los riesgos de seguridad,tantopresentescomofuturos. LaestructuradeunPlandeSeguridadsedivideenvariasfases: Identificacióndeelementosaproteger. Análisisyvaloracióndelosriesgospresentesyfuturos. Diseño de unas medidas de seguridad que eliminen o mitiguen dichos riesgos. Implantacióndedichasmedidasdeseguridad. Auditoríadelasmedidasimplementadas(repetidadeformaperiódica). Revisiónyactualizacióndelasmedidasimplantadas. Agrosomodo,unbuenPlandeSeguridaddeberíacontemplarlossiguientes aspectos: Política de gestión y administración de equipos, elementos de red y servicios;quecubralainstalación,configuraciónyusodiariosegurode todosloselementosqueconformanlared. Políticadeadministracióndeparchesyactualizaciones; quemantengalos equiposalniveldeactividadóptimoencuantoaseguridadyrendimiento. Procedimientosdetransmisiónseguradedatos;quegaranticenlaseguridad delascomunicacionesentrelaempresayclientesoproveedores. Normasde seguridadfísica; quepermitanrealizaruncontrol deacceso efectivo a las instalaciones en las que se encuentran los elementos que conformanlared. Procedimientosdegestiónyadministracióndeusuariosycontraseñas;que establezcan un control efectivo y robusto de los accesos y permisos existentesenelsistema. Políticade antivirus; que permita asegurarquelos contenidos ofrecidos estánlibresdevirus,troyanosycualquierotroelementoperniciosoparael usuario. 6

41 Política de gestión y almacenamiento de logs o registros; que permita realizarunseguimientodelosaccesosrealizadostantoalosservicioscomo alosrecursosdelaempresa. Política de copias de seguridad o backups; que permita, ante un fallo catastróficodelsistema,restaurarelmismoconlamenorpérdidadedatos posible. Procedimientos ante contingencias del sistema; que garanticen una actuaciónrápidayeficazantecualquierfallodelservicio. Procedimientos ante incidencias deseguridad del sistema; que permitan reaccionar,identificar,actuarycontrarrestarcualquiertipodeaccesono autorizadoalossistemasqueprestanelservicio. Procedimientosdeformaciónyconcienciacióndelpersonaldelaempresa; con el fin de garantizar el conocimiento de unas prácticas básicas de seguridad. EsimportantereseñarqueelPlandeSeguridadesunainiciativaqueafectaa todoslosestratosdeunsistema.segestayefectúadesdeeldepartamentodesistemas Informáticos,peronecesitaporunapartedelapoyodelaDirección(paraqueasignelos recursoseconómicosyhumanosnecesariosparasuejecución),yporotrapartede todoslosusuariosdelsistema,quedebenestarconcienciadosysensibilizadosacercade laimportanciadelaseguridadensusistema. Administracióndelriesgo DeacuerdoaMaiwald(.005)laseguridadseconsigueadministrandoelriesgo.Si noseentiendecualessonlosriesgosdeseguridadparalosactivosdeinformacióndela organización,puedenutilizarsedemasiadosoescasosrecursos,outilizarlosdemanera equivocada.laadministraciónderiesgostambiénproporcionaunabaseparaelavaluo delosactivosdeinformación.alidentificarlosriesgos,ustedpuedeidentificarelvalor 7

42 delostiposparticularesdeinformaciónyelvalordelossistemasquecontienenesa información. Elriesgoeselpotencialdeloquepuedeserperdidoyrequiereprotección.Elriesgo contienedoscomponentes:laamenazaylavulnerabilidad.deellosepuedeinferirque elriesgoesigualalasumadelasamenazasylasvulnerabilidades. Riesgo=vulnerabilidad+amenaza. Seentiendeporvulnerabilidadunavíadeataquepotencial.Lasvulnerabilidades puedenexistirenredesysistemasdecomputooenprocedimientosadministrativos. Unaamenazaesunaacciónoeventoquepuedeviolarlaseguridaddeunentornode sistemasdeinformación.existentrescomponentesdeamenaza: Objetivos:Elaspectodelaseguridadquepuedeseratacado. Agentes:Laspersonasuorganizacionesqueoriginalaamenaza. Eventos:Eltipodeacciónquerepresentalaamenaza. EnestesentidoCERT(ComputerEmergencyResponseTeam),equipoderespuesta deemergenciasaincidentesdeseguridadcreadopordarpa3 (DefenseAdvanced ResearchProjectsAgency)en.988,publicaensusitewebelcuadro4quemuestralas vulnerabilidadesreportadas,dandountotalde6.73. Cuadro4 Vulnerabilidadesdivulgadas Año Q Q,006 Vulnerabilidades 7 Nota:www.cert.org ,090,437 4,9 3,784 3,780 5,990 3,997 ElCERTtrabajaparafacilitarlasrespuestasaincidentesdeseguridadqueafectana Internet,conelobjetivodetomarlasmedidasoportunasdeprevención,ademásde investigarymejorarlaseguridaddelossistemasqueexisten. 3 CERT:EquipodeRespuestaaIncidentesdeSeguridadenCómputo.www.cert.org DARPA:LaAgenciadeInvestigacióndeProyectosAvanzadosdeDefensa.http://www.darpa.mil/ 8

43 Conlafinalidadderealizarunaadministracióndelriesgosedebeelaborarun análisisderiesgosytomarcomoreferenciaelestándar. AnálisisdelRiesgoylosRequerimientosdelISO700:005 Alexander(.006)expresa: ElISO700:005requierequelaorganización queestaplaneandoimplantarunsgsi,primerodefinaelalcancedelestándarenla empresa,yenbaseaesealcanceidentifiquetodoslosactivosdeinformación. Paraidentificarlosactivosdeinformaciónsepuedeutilizarlametodologíade las elipses, la cual una vez determinado el alcance se decide el proceso que se evaluará.conestosetratadevisualizarconmuchaprecisiónlosdistintossubprocesos quecomponenalalcance.estosedeterminaenlaelipseconcéntrica,elpasosiguiente sería determinar los usuarios y dueños de esos procesos, el segundo paso en la metodología,eseldeidentificarenlaelipseintermedialasdistintasinteraccionesde lossubprocesosdelaelipseconcéntrica,tienenconotrosprocesosdelaorganización. Seguidamente, también se deben identificar con la elipse concéntrica. La elipse externa,seidentificanaquellasorganizacionesextrínsecaalaempresaquetienencierto tipodeinteracciónconlossubprocesosidentificadosenlaelipseconcéntrica. Losactivosdeinformacióndebensertasadosparaidentificarsuimpactoenla organización.luegounanálisisdelriesgoesrequeridoparadeterminarqueactivos estánbajoriesgo. Sedebentomardecisionesenrelaciónaqueriesgoslaorganización aceptaráyquecontrolesseránimplantadosparamitigarelriesgo.alagerenciasele requierequereviseelsgsienlaorganizaciónaintervalosplanificadosparaasegurar suadecuaciónyeficacia.lagerenciaesexigidaquecontrolelosnivelesderiesgos aceptadosyelestadodelriesgoresidual(riesgoquequedadespuésdeltratamientodel riesgo).eliso700:005esunsistemadinámicoqueobligaalagerenciaestar constantemente revisando y definiendo controles, sus amenazas, vulnerabilidades e iniciaraccióncorrectivaypreventivacuandoseanecesario. 9

44 ProcesodeEvaluacióndelRiesgo Elprocesodeevaluacióndelriesgoquepermiteaunaorganizaciónestaren conformidadconlosrequerimientosdelestándarestapresentadaenelgráfico 3.El procesodelasseis(6)fasesayudaacualquierorganizaciónquedeseeestablecerun SGSI,enconcordanciaconlacláusula4..delestándar. Gráfico3:Procesodeevaluaciónderiesgo IdentificaciónyTasacióndeActivos: Unactivoesalgoquetienevaloro utilidadparalaorganización,susoperacionesysucontinuidad.losactivosnecesitan protecciónparaasegurarlascorrectasoperacionesdelnegocioylacontinuidaddela empresa. La gestión apropiada de los activos es vital para poder mantener una adecuadaproteccióndelosactivosdelaempresa. Cadaactivodebeestarclaramenteidentificadoyvaloradoapropiadamente,ysu propietario y clasificación de seguridad acordada en la organización. El ISO 7799:005 (Código de Práctica para la Gestión de la Seguridad de Información) clasificalosactivosdelasiguientemanera:()activosdeinformación:basesdedatos yarchivosdedatos,documentacióndelsistema,manualesdeusuario,materialesde entrenamiento, procedimientos operativos de apoyo, planes de continuidad; () Documentos impresos: contratos, lineamientos, documentos de la compañía, documentosquecontienenresultadosimportantesdelnegocio;(3)activosdesoftware: Softwaredeaplicación,softwaredesistemas,herramientasdedesarrollo;(4)Activos 30

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC CONTADOR EDUARDO LUIS GARCÍA egarcia@criba.edu.ar Departamento de Ciencias de la Administración Universidad acional del Sur CATEGORÍA EN LA CUAL SE ENCUADRA EL TRABAJO Propuesta de contenido. MODALIDAD

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Objetivos: Aportar al alumno/a de forma eficaz todos aquellos conocimientos, habilidades y competencias que

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

La norma ISO 27001 del Sistema de Gestión de la

La norma ISO 27001 del Sistema de Gestión de la La norma ISO 27001 del Sistema de Gestión de la Garantía de confidencialidad, integridad y Carlos Manuel Fernández Coordinador de TIC de AENOR Introducción La información es como el aparato circulatorio

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA UNIVERSIDAD DEL TOLIMA INSTITUTO DE EDUCACIÓN A DISTANCIA-IDEAD PROGRAMA DE INGENIERÍA DE SISTEMAS

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIAS COORDINACION DE POSTGRADO SISTEMATIZACION DE LA GESTION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014 DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014 1. UNIDAD ORGANIZADORA Facultad de Ingeniería y Administración 2. NOMBRE DEL PROGRAMA Diplomado en Gestión IT Seguridad y Continuidad

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD Tristan RAMAGET Director Área Seguridad Información ECIJA 23-nov-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD Índice 1. SGSI

Más detalles

Cómo aprovechar mejor el Webinar

Cómo aprovechar mejor el Webinar Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA CODIGO: 233003 CODIGO SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI). I. DATOS GENERALES Nombre del

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907 Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

REPORTE DE CUMPLIMIENTO ISO 17799

REPORTE DE CUMPLIMIENTO ISO 17799 Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA

Más detalles

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? 1 Introducción ENS 2 Introducción El objetivo de la presentación es explicar en qué consiste

Más detalles

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS. SILABO

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS. SILABO UNIVERSIDAD NACIONAL FEDERICO VILLARREAL FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS. SILABO ASIGNATURA: SEGURIDAD EN COMPUTACION E INFORMATICA I. DATOS GENERALES CÓDIGO: 8B0066 1.0 Escuela Profesional

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

TABLA DE CONTENIDOS. Dedicatoria. Agradecimientos. Tabla de Contenidos. Índice de Figuras. Índice de Tablas. Resumen. Abstract

TABLA DE CONTENIDOS. Dedicatoria. Agradecimientos. Tabla de Contenidos. Índice de Figuras. Índice de Tablas. Resumen. Abstract TABLA DE CONTENIDOS página Dedicatoria Agradecimientos Tabla de Contenidos Índice de Figuras Índice de Tablas Resumen Abstract II III IV VIII IX XIII XIV 1. Introducción 1 1.1. Problemática...............................

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles