UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA COORDINACION DE POSTGRADO Maestría en Ciencias de la Computación

Transcripción

1 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL BARQUISIMETO,MARZO.007

2 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALAUNIVERSIDAD NACIONALEXPERIMENTALPOLITECNICA ANTONIOJOSEDESUCRE SEDERECTORAL Trabajodegradopresentadocomorequisitoparcialparaoptar algradodemagísterscientiarumencienciasdelacomputación AUTOR: LCDO.MUJICAR.MANUELA. TUTOR: PROF.POLANCOR.WILLIAMR. BARQUISIMETO,MARZO.007

3 APROBACIONDELTUTOR EnmicarácterdeTutordeltrabajodegradopresentadoporelLicenciadoManuel AntonioMujicaRuiz,paraoptaralGradode MagísterScientiarumenCienciasdela Computación,Mención RedesdeComputadoras,consideroquedichoTrabajoreúnelos requisitosyméritossuficientesparasersometidoalapresentaciónpúblicayevaluaciónpor partedeljuradoquesedesigne. EnlaCiudaddeBarquisimeto,alosveintiochodíasdelmesdefebrerodeldosmil siete. PROF.POLANCOWILLIAM

4 DEDICATORIA ADiosTodopoderoso,nuestroseñorJesúsporiluminarmeybrindarmesabiduría alolargodelainvestigaciónycarrera. Amiabuela(Q.P.D.),quienmeformoenlosprimerosañosdemivida. Amimadre,porsumotivaciónyamorparaellogrodeestameta. Amiesposa,porsuapoyoincondicionalycomprensión. A Maria, Lorena, Sofia, Genesis y Manuela para que este esfuerzosirva de ejemplodesuperación. Amistíasquienessiempremehanimpulsadoallogrodemismetas. Atodasaquellaspersonasquedeunauotraformabrindaronanimoyfortaleza paraseguiradelanteenmidesarrolloprofesionalyquecontribuyeronparaculminar conéxitoestainvestigación. Graciasatodosymiespecialagradecimiento, iv

5 AGRADECIMIENTO AlaUniversidadCentroccidentalLisandroAlvarado(UCLA)porpermitirme adquirirvaliososconocimientos,queservirándemuchoeneldesempeñolaboral. AlIngenieroWilliamPolanco,porsuvaliosaorientaciónydedicaciónpara desarrollaryllegarafeliztérminolainvestigación. AlosdirectivosdelaUniversidadNacionalExperimentalPolitécnicaAntonio JosédeSucre(UNEXPO), porsuapoyoycolaboraciónincondicionalparallevara cabolapresenteinvestigación. AlosprofesoresEuvisPiña,GlennysClemantyArsenioPérezporbrindarmesu colaboraciónyorientacióneneldesarrollodeltrabajodegradoyalolargodela carrera. Atodosmissincerosagradecimientos, v

6 INDICEGENERAL pp. DEDICATORIA......iv AGRADECIMIENTO......v LISTADECUADROS......ix LISTADEGRAFICOS......xi RESUMEN......xii ABSTRACT......xiii INTRODUCCION CAPITULO IELPROBLEMA PlanteamientodelProblema...3 ObjetivosdelaInvestigación ObjetivoGeneral ObjetivosEspecíficos JustificacióneImportancia AlcancesyLimitaciones IIMARCOTEORICO AntecedentesdelaInvestigación...0 BasesTeóricas Historia Seguridad EstándaresdeSeguridad NormaISO/IEC 700: NormaISO/IEC 7799: PolíticasDeSeguridad PlandeSeguridad Administracióndelriesgo...7 AnálisisdelRiesgoylosRequerimientosdelISO700: BasesLegales EstándaresInternacionales LeyesNacionales NormativaInterna SistemadeVariables vi

7 pp. IIIMARCOMETODOLOGICO NaturalezadelaInvestigación...39 DiseñodeInvestigación FaseI:Diagnóstico PoblaciónyMuestra TécnicaseInstrumentosdeRecoleccióndeDatos...4 ValidezdelInstrumento ConfiabilidaddelInstrumento...43 TécnicasdeAnálisisdelosDatos...44 FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...46 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...46 IVPROPUESTADELESTUDIO FaseI:Diagnóstico Validezyconfiabilidaddelosinstrumentos...48 TécnicadeAnálisisyPresentacióndelosResultados...48 ResultadosdelaEntrevista...49 Resultadosdelcuestionario Observacióndirecta FaseII:Factibilidad FactibilidadOperativa FactibilidadTécnica FactibilidadEconómica FaseIII:DiseñodelPlandeSeguridadInformática...75 VEJECUCIONYEVALUACIÓNDELAPROPUESTA...5 FaseIV:EvaluacióndeldiseñodelPlandeSeguridadInformática...5 vii

8 CAPITULOpp. VICONCLUSIONESYRECOMENDACIONES...30 Conclusiones Recomendaciones BIBLIOGRAFÍA ANEXOS... A TablaA. ObjetivosdecontrolycontrolesdelaNormaISO/IEC 700: B GanttdelPlandeSeguridadInformática... C Entrevista... D Cuestionario... E ValidacióndeInstrumentosdeRecoleccióndeDatos... F ConfiabilidaddelInstrumento... G ResúmenesdeCasos... H Tabladefrecuencia... I Documentacióndeseguridadexistente... J InventariodeHardware... K InventariodeServicios... L Memoriafotográfica... M Perfilesusuarios... N HerramientasdeRastreo,evaluaciónyrupturadecontraseñas... O Comparacióncualitativa... P Directricesparalaauditoría... Q ImplementacionesenseguridadUNEXPO... R CurrículumVítaedelAutor... viii

9 LISTADECUADROS CUADRO pp. Evolucióndelanormativa... 0 Futurodelanormativa... DescripcióndelModeloPDCAaplicadoalosprocesosSGSI... 3 Vulnerabilidadesdivulgadas OperacionalizacióndelasVariables DescripcióndelaPoblación... 4 CriteriosdeConfiabilidad MatrizdeRegistrodelaentrevista CertificacióndeSeguridadInformática ConocimientosdeSeguridadInformática DocumentodeSeguridadInformática Propiedaddelainformación ProgramasdesensibilizaciónenSeguridadInformática PolíticasdeSeguridadInformática Plandecontinuidaddeoperaciones Planderecuperaciónantedesastres Evaluaciónderiesgos... 6 Riesgodevirus... 6 Objetivosdecontrolycontroles GarantíaFuncionalFaseI... 7 NormalizacióndePlataformaenlasEstacionesdeTrabajo... 7 Rediseño y Actualización de la Infraestructura de Red del Rectorado Resumendeproyectos DiseñodelPlandeSeguridadInformática InventariodeActivos... TasacióndeActivos... Realizacióndelanálisisyevaluacióndelriesgo... Enunciadodeaplicabilidad... 4 ImplantaciónyOperación... 5 Implantacióndeloscontroles... 9 Evaluacióndelplandeseguridad... 0 EnumerardetallesdecontactosUnexpo... 3 ix

10 CUADRO NICUnexpo... DNSUnexpo... TablaleyendaDNS... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... x pp

11 LISTADEGRAFICOS GRAFICO pp. EstructuraOrganizativaOficinaCentraldeTecnologíayServicios deinformación... Modelo PDCA aplicado a los procesos SGSI. ISO/IEC 700: Procesodeevaluaciónderiesgo... FormulaCoeficienteAlphadeCronbach... CertificacióndeSeguridadInformática... ConocimientosdeSeguridadInformática... DocumentodeSeguridadInformática... Propiedaddelainformación... ProgramasdesensibilizaciónenSeguridadInformática... PolíticasdeSeguridadInformática... Plandecontinuidaddeoperaciones... Planderecuperaciónantedesastres... Evaluaciónderiesgos... Riesgodevirus... Metodologíadelaselipses.CasoSistemaAdministrativoIntegrado SAI... Diagramadeflujoparalaevaluacióndelaseguridadenredes... EnumerardetallesdecontactosUnexpo... DNSactivosUnexpo... EstadoDNSUnexpo... ExploraciónderedesIPUnexpo... EvaluarserviciosWebUnexpo... xi

12 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DISEÑODEUNPLANDESEGURIDADINFORMÁTICAPARALA UNIVERSIDADNACIONALEXPERIMENTALPOLITECNICA ANTONIO JOSEDESUCRE SEDERECTORAL AUTOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO FECHA:MARZO.007 RESUMEN El presente trabajo de investigación se basó en diseñar un Plan de Seguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.estomotivadoadiversosincidentesdeseguridadenlosservicios deinformaciónqueocurrierontalescomo:ataquesdedenegacióndeservicio(dos)al servidordns(domainnamesystem),presenciadecorreospam(correoelectrónico basura) de manera cotidiana, pérdida o eliminación involuntaria de información institucionalenlascomputadorasdeusuariosadministrativos,computadorasinfectadas de virus y troyanos, así como también la falta de un plan de seguridad de la información que lograse minimizar los riesgos ante las amenazas en las redes de computadoras.todoloanteriormenteexplicadosoportólapremisaderealizarunplan deseguridadinformáticaconelfindedarrespuestaaunaproblemáticarealyplantear una soluciónbasadaen estándaresdeseguridadinternacionales.laelaboracióndel estudioserealizómetodológicamenteatravésdelascuatrofasesfundamentalesenla formulacióndeunproyectofactiblecomoson:faseidiagnóstico;faseiifactibilidad; FaseIIIDiseñodelPlandeSeguridadInformáticayFaseIVEvaluacióndeldiseñodel PlandeSeguridadInformática.Paratodasellasse utilizaronanálisisestadísticosy técnicasderecolecciónyanálisisdela informacióndandocomoresultado mejoras consolidadasenlosaspectosdeseguridaddelainformacióndelsetentayunopor ciento (7%) y una posición estipulada promedio como buena en comparación cualitativaconrespectoalasotrasuniversidadestomadascomoreferencia. Descriptores: Plan de Seguridad Informática, Estándares de Seguridad, Redes de computadoras. xii

13 UNIVERSIDADCENTROCCIDENTAL LISANDROALVARADO DECANATODECIENCIASYTECNOLOGIA COORDINACIONDEPOSTGRADO MaestríaenCienciasdelaComputación DESIGNOFAPLANOFCOMPUTERSCIENCESECURITYFORTHE EXPERIMENTALNATIONALUNIVERSITYPOLYTECHNICAL ANTONIO JOSEOFSUCRE HOSTRECTORAL AUTHOR:LCDO.MANUELMUJICA TUTOR:PROF.WILLIAMPOLANCO DATES:MARZO.007 ABSTRACT Thepresentworkofinvestigationwasbasedondesigningaplanofcomputerscience security for the Experimental National University Polytechnical Antonio José de Sucre hostrectoral.thismotivatedtodiverseincidentsofsecurityintheinformation servicesthathappenedsuchas:attacksofrefusalonwatch(dos)toservantdns (DomainNameSystem),presenceofmailSpam(electronicmailsweepings)ofdaily way,lossorinvoluntaryeliminationofinstitutionalinformationinthecomputersof administrativeusers,infectedcomputersofvirusandtroyanos,aswellasthelackofa planofsecurityoftheinformationthatmanagedtodiminishtherisksbeforethethreats inthenetworksofcomputers.allpreviouslyexplaineditsupportedthepremiseto make a plan ofcomputer science security with the purpose of giving problematic answerarealoneandraisingasolutionbasedoninternationalstandardsofsecurity. Theelaborationofthestudywasmademethodologicallythroughthefourfundamental phasesintheformulationofafeasibleprojectastheyare:phaseidiagnosis;phaseii Feasibility;PhaseIIIDesignoftheplanofcomputersciencesecurityandPhaseIV Evaluationofdesigntheplanofcomputersciencesecurity.Forallofthemstatistical analysesandofharvestingandanalysesoftheinformationwereusedtechnicalgiving likeresultimprovementsconsolidatedintheaspectsofsecurityoftheinformationof theseventyandonepercent(7%)andonestipulatedpositionaveragelike good in qualitativecomparisonwithrespecttotheotheruniversitiestakenlikereference. Description:PlanofComputerscienceSecurity,StandardsofSecurity,Networksof computers. xiii

14 INTRODUCCION Elconceptodeseguridadeninformáticaespococonocidoeimpartidoalosfuturos profesionalesdelasáreastecnológicasenlasuniversidadestradicionalesdenuestropaís, hecho corroborable en los pensa de estudio; sin embargo, se detecta que esta área es neurálgicaunavezquesetienecontactoconlasorganizacionesenelcampolaboral,yaque estas toman muy en serio la confidencialidad, autenticación y disponibilidad de la informaciónmotivadoaqueellorepresentaelementosdeéxitoalaorganización. De acuerdo con el informe de PandaLabs (.006), un estudio realizado por una importanteempresadeseguridadinformáticaarrojóqueelveintiunoporciento(%)del correoelectrónicoquerecibenlasempresasesspam yqueelcincoporciento(5%)del tráficototaldelaredestáinfectadoporalgúntipodesoftwaremalicioso.losempleados utilizanelaccesoainternetconfinespersonalesalmenosunahorapordíaensustrabajos,lo cualsetradujoenpérdidasporlucrocesanteparalasempresasdemásdetrescientosochenta (380)millonesdedolaresduranteelaño.005.Además,sedescubrióqueelsesentayseis porciento(66%)delasvisitasapáginasconcontenidospornográficosseefectúandurantela jornadalaboral,nosóloprovocandopérdidassinoconsumiendoelanchodebanda. Enestesentido,elconstantecambiodecondicionesyplataformasparaelmanejode información,aunadoalaugedenuevastecnologíaseneláreadesistemasyredesconllevana unaminuciosarevisióndelossistemasdegerenciadeseguridaddelainformacióndelas empresasparatenerdirectricesclarassobreelámbitodeseguridad. EltrabajodeinvestigaciónsebasóendiseñarunPlandeSeguridadInformáticapara launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre sederectoral. Enestesentido,eltrabajo deinvestigaciónseestructuróenseis(6)capítulos: el CapítuloI,conformadoporelProblema,enelcualsedesarrollasuplanteamiento,objetivos delainvestigación,justificacióneimportancia. SPAM:sonmensajesnosolicitados,habitualmentedetipopublicitario,enviadosencantidadesmasivas.

15 El Capítulo II, denominado Marco Teórico, contentivo de los antecedentes de investigación,basesteóricas,baseslegalesysistemadevariables. El Capítulo III, Marco Metodológico, contiene la naturaleza y diseño de la investigaciónconladescripcióndelasfasesdelproyectofactible. El Capítulo IV, Propuesta del Estudio, presenta la fase I: Diagnóstico, fase II: FactibilidadylafaseIII:DiseñodelPlandeSeguridadInformática ElCapítuloV,EjecuciónyEvaluacióndelaPropuesta,seefectúalafaseIV. Por último el Capítulo VI, mostrará las conclusiones y recomendaciones de la investigación. Lasteoríasquesustentanlainvestigaciónsonlasdecienciasdelacomputaciónenla especialidad de redes de computadores y puntualmente en seguridad de la información, utilizando como modalidad metodológica la de proyecto factible. Con estas teorías se pretendesoportareldiseñodeunplandeseguridadinformáticaparalauniversidadnacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral,tomandocomoreferenciala normaiso/iec 700:005ylanormaISO/IEC 7799:005.

16

17 CAPITULOI ELPROBLEMA PlanteamientodelProblema Lamayoríadelaspersonasgastanmástiempoyenergíasen hablardelosproblemasqueenafrontarlos. HenryFord EnlasúltimasdosdécadasdelsigloXXyprimeradelXXI,sehanpropiciado cambioseneláreatecnológicaquehanimpulsadolaautomatizacióndelosprocesosde lasdistintasorganizaciones,siendounodeestoscambioselusomasivoderedesde computadorasparalatransmisióndevoz,vídeoydatos.lasredesdecomputadoras comoloexplicatanenbaum(.003), esunconjuntodecomputadorasautómatas interconectadas. Se dice que dos computadoras están interconectadas si pueden intercambiarinformación.elcrecimientodelasredesdecomputadorasesacelerado porunelementotecnológicoasociadoalosnuevostiemposcomoloeselinternet, entendiéndose como la interconexión de redes informáticas que permite a los ordenadores o computadoras conectadas comunicarse directamente, es decir, cada ordenadordelaredpuedeconectarseacualquierotro.tambiénseleconocecomola granredderedesolasúperautopistadelainformación. Paralograrlainterconexióndelasredesserequiriódeunmodeloquesirvierade marco de referencia. Este fue propuesto por la ISO (Internacional Standards Organization)enladécadadelos70 s,dándoleelnombredemodeloosi (Open SystemsInterconnection)elcualestábasadoensietecapas,definiendoparacadauna ISO: International Organization for Standarization (ISO), es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización (ONs) nacionales,queproducenormasinternacionalesindustrialesycomerciales. 3

18 de ellas servicios, interfaces y protocolos a utilizar. Al respecto Bigelow (.003) explica elmodeloosidescribecómosedesplazalainformacióndeunaaplicación enunequipo,atravésdelared,alaaplicacióndeotroequipo estemodelo se consideraelprincipalmodelodearquitecturaparacomunicacionesyeselmarcodonde encajanlosestándaresexistentes. Otradelasinstitucionesquecolaboraconelámbitodenormalizacionesyestándares eslacomisiónelectrotécnicainternacional(iecporsussiglasinglesas).estaesuna organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas.numerosasnormassedesarrollanconjuntamenteconlaisoyporellose daelnombredenormasiso/iec. Comoconsecuenciadeestablecerunmodeloúnicodereferencia,elmodeloOSI, hapermitidoqueelprocesodecomunicarseatravésdelasredesdecomputadoras evolucione; sin embargo, éste proceso se ve amenazado constantemente por vulnerabilidadesqueaparecenreiteradamenteenlossistemasdeinformaciónytambién como consecuencia de inadecuadas políticas de seguridad o falta de éstas para el manejo de los servicios de información. El problema de seguridad repercute negativamenteenelámbitofinancieroeinclusoenlaimagenorganizacional,motivado aqueesteocasionapérdidadereputaciónyconfianza. LaAcademiaLatinoamericanadeSeguridadInformática(.004)destacaalrespecto que lainformacióneselobjetodemayorvalorparalasempresas.elprogresodela informática y de las redes de comunicación nos presenta un nuevo escenario. La seguridaddelainformaciónesunasuntotanimportante,puesafectadirectamentealos negociosdeunaempresaoindividuo. Porlotanto,larelevanciadetenerseguridaddeinformaciónenlasredesde computadorasesevidente.maiwald(005)explicaque laseguridaddelainformación sonlasmedidasadoptadasparaevitarelusonoautorizado,elmaluso,lamodificación odenegacióndelusodeconocimientos,hechos,datosocapacidades. Existenvariasnormasinternacionalesquebuscangarantizarlaseguridaddela información en las organizaciones. De ellas la que se ha tomado como punto de 4

19 referencia ha sido la norma ISO/IEC 700:005 titulada Sistemas de gestión de seguridaddelainformación Requerimientos.Estedocumentoestádestinadoaser utilizado como punto de partida en las organizaciones que deseen implementar seguridaddelainformaciónycuyoorigenestabasadoenlanormabritishstandards InstitutionBS7799,lacualfueusadahastamediadosdelaño.005comoelemento para certificar a las empresas sobre los estándares de seguridad. Este estándar internacional ha sido preparado con la finalidad de proporcionar un modelo para establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsistemade GestióndeSeguridaddelaInformación(SGSI). Además,lanormaISO/IEC 7799:005titulada Códigoparalaprácticadela gestióndelaseguridaddelainformación,estableceloslineamientosyprincipios generalesparainiciar,implementar,mantenerymejorarlagestióndelaseguridaddela información.estanormaescomplementodelaiso/iec 700:005 Enesteordendeideas,lasUniversidadesVenezolanascomoorganizacionesenlas cuales se prestan servicios de información han utilizado como parte de sus herramientastecnológicaslasredesdecomputadores.esevidentequeestasnoescapan delosproblemasdeseguridaddelainformaciónplanteadosconantelación,talycomo sehapodidocorroborarporobservacióndirectadelinvestigadorenlauniversidad ExperimentalPolitécnica AntonioJosédeSucre,endonde,hanocurridoincidentes deseguridadenlosserviciosdeinformacióntalescomo:ataquesdedenegaciónde servicioalservidordns(domainnamesystem),presenciadecorreospam(correo electrónico basura) de manera cotidiana, perdida o eliminación involuntaria de información institucional en los computadores de usuarios administrativos, computadoresinfectadosdevirus,troyanosylanoexistenciadeunplandeseguridad delainformaciónquelogreminimizarlosriesgosantelasamenazas. EstaUniversidadfuecreadael0defebrerode.979,medianteDecretoEjecutivo No , El área tecnológica es dirigida por la Oficina Central de Tecnología y Servicios de Información (OCTSI), creada el 04 de mayo de.005 en su sesión extraordinaria no. 005 E09 05 de Consejo Universitario de la UNEXPO, en 5

20 concordanciaconloslineamientosdetecnologíayserviciosdeinformación,aprobado el0dejuliodel.004segúnresolucióndeconsejouniversitariono.004 E4 06.A ellaperteneceelgrupodeseguridadycomosemuestraenelgráfico y cuyasfuncionesson:. Aplicar y velar por el cumplimiento de las medidas de seguridad en comunicaciones,serviciosdeinformaciónyplataformatecnológica.. Realizar,mantenerygarantizarlaintegridaddelainformaciónmanejada,a travésdeprocedimientosderespaldosydeseguridad. 3. Aplicar las medidas de seguridad establecidas para la operación y funcionamientodelosrecursostecnológicosydeinformacióndelainstitución. 4. Realizarelmonitoreocontinuodelaseguridad,enlaplataformatecnológicade lainstitución. 5. Llevarestadísticassobreintentosdeaccesonoautorizadosalosserviciosde informaciónylaredcorporativadedatosdelainstitución. 6. Implantarnormasyprocedimientosparalaasignacióndeprioridadesyrecursos requeridosparalapuestaenproduccióndeplanesdeseguridad. 7. Garantizarlaseguridadenelintercambiodeinformaciónentrelosusuariosy losserviciosdeinformaciónenproducción. 8. Realizarlasactividadesqueporsunaturalezacorrespondenaláreadesoportey mantenimientodelaseguridad. Gráfico.EstructuraOrganizativaOficinaCentraldeTecnologíayServiciosdeInformación. Fuente:ReglamentodeTecnologíayServiciosdeInformacióndelaUNEXPO(.005) 6

21 Por otra parte, se evidencia un orden jurídico Institucional como son los LineamientosdeTecnologíayServiciosdeInformaciónyelReglamentodeTecnología yserviciosdeinformacióndelaunexpo,ambosdecaráctermandatariosenrelación aquedebensercontempladolosaspectosdeseguridaddelainformacióndentrodela Universidad. Conesteescenarioplanteadoydecontinuarloshechosirregularespresentados dentrodelainstituciónenrelaciónaltratamientodelainformación,podríangenerarse responsabilidadeslegalesalpersonalencargadodemanteneryadministrarlatecnología yserviciodeinformacióndentrodelauniversidad. Porloantesexpuesto,seproponediseñarunPlandeSeguridadInformáticaparala UniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre sederectoral yparaello seestablececomoreferencialanormaiso/iec 700:005ylanorma ISO/IEC 7799:005. En este punto se hace indispensable analizar minuciosa y detalladamentelasrespuestasalassiguientesinterrogantes: Cómo está actualmente la seguridad informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre,enlasedeRectoral?. Cuál es la factibilidad de diseñar un Plan de Seguridad Informática para la Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. QuécaracterísticasdebetenereldiseñodeunPlandeSeguridadInformáticaparala Universidad Nacional Experimental Politécnica Antonio José de Sucre sede Rectoral?. CualseráelresultadodeevaluareldiseñodelPlandeSeguridadInformática?. Lasrespuestasaestasinterrogantespermitiránproponereldiseñodel Plande SeguridadInformáticaparalaUniversidadNacionalExperimentalPolitécnica Antonio JosédeSucre sederectoral,tomandocomoreferencialanormaiso/iec 700:005 ylanormaiso/iec 7799:005. 7

22 ObjetivosdelaInvestigación ObjetivoGeneral Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. ObjetivosEspecíficos Diagnosticarlasituaciónactualenlaqueseencuentralaseguridadinformáticaen launiversidadnacionalexperimentalpolitécnica AntonioJosédeSucre.sede Rectoral. Determinarlafactibilidadoperativa,técnicayeconómicade diseñarunplande Seguridad Informática para la Universidad Nacional Experimental Politécnica AntonioJosédeSucre sederectoral. Diseñar un Plan de Seguridad Informática para la Universidad Nacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. EvaluareldiseñodelPlandeSeguridadInformáticaparalaUniversidadNacional ExperimentalPolitécnica AntonioJosédeSucre sederectoral. JustificacióneImportancia Eldesarrollodelacienciadelacomputaciónsehavistoafectadafavorablemente dadolossignificativosavancesdelosúltimostreinta(30)añosenelámbitodelas telecomunicacionesusandolosmedioselectrónicosinformáticoscomoelinternety las redes de comunicaciones como forma de masificación de información. Esta masificación ha obligado a los administradores de redes de computadores a incorporarseenlaluchaporofrecerseguridaddelainformaciónenlosentornosque administran.lainformaciónqueviajaatravésdelasredesessusceptibleaservista, 8

23 generadaoalteradaporterceros.deallílanecesidaddeofrecerseguridadentodoslos nivelesdeinformacióndelasorganizaciones. En este sentido, las universidades como organizaciones de servicios deben incorporarsedentrodelosestándaresqueinvolucrenseguridadenlainformación.las leyes venezolanas brindan un marco legal donde la información tiene un papel preponderante y su tratamiento en lo relacionado a seguridad repercute sobre las responsabilidadesdelosqueadministranlatecnologíasyserviciosdedeinformación. LaUniversidadNacionalExperimentalPolitécnica AntonioJosédeSucre como universidadpública,seencuentrainteresadaenbrindarseguridadalainformaciónque viajaatravésdesusredesdecomputadoresporloquesehasurgidolanecesidadde diseñarunplandeseguridadinformáticaparaellaensusederectoral. Coneldiseñopropuestoseesperaofrecerunasoluciónefectivaalosproblemasde seguridadenlauniversidadparabrindarconfiabilidad,confidencialidadynorepudio delainformaciónminimizandolosriesgos.tambiénaportarunaalternativa paralas otras universidades o instituciones con problemática similar. De igual manera, se esperaquelainvestigaciónsirvacomobaseparafuturasinvestigacionesenelárea. AlcancesyLimitaciones DentrodelosalcancesquesetieneeseldiseñodePlandeSeguridadInformática tomandocomoreferencialanormaiso/iec 700:005e ISO/IEC 7799:005, se realizaráparaelcasoparticularde lareddelauniversidadnacionalexperimental Politécnica AntonioJosédeSucre enlasederectoral. Encuantoalaslimitacionesesimportantetomarencuentaquelosaspectosque conforman la confidencialidad de la información son factor preponderante en el desarrollodelainvestigaciónyesporelloqueserealizalosllamadosrespectivosenlos casosdondeaplique.lainformaciónmostradadelainstituciónesreferencialysolo paralosefectosacadémicosrespectivos. 9

24 CAPITULOII MARCOTEORICO. AntecedentesdelaInvestigación Losqueseenamorandelaprácticasinlateoríasoncomolos pilotossintimónnibrújula,quenuncapodránsaberadónde van. LeonardoDaVinci Todoestudiorequiere,larevisióndelaliteraturaexistentesobretemasrelacionados coneltrabajoqueseelabora,porloquesehacenecesarialaconsultadeestudios realizados con el mismo. En el presente capítulo se citan investigaciones que han contribuidoagenerarantecedentesalapropuestade diseñarunplandeseguridad InformáticaparalaUniversidadNacionalExperimentalPolitécnica AntonioJoséde Sucre sederectoral.entrelostrabajospresentadossedestacanlossiguientes: Murillo(.00) ensutrabajo DiseñoyAplicacióndeunSistemaIntegralde SeguridadInformáticaparala UniversidaddelasAméricas(UDLA),tienecomo objetivo general de proyecto diseñar y aplicar un esquema integral de seguridad informáticabasadoenun estudio de metodologíasdeseguridadpara satisfacer los requerimientosusuario infraestructura administradordelareddelaudla.alo largodelainvestigaciónsepresentanlosaspectosrelevantesdelateoríadeseguridad informática aplicada a las necesidades de la red UDLA, conceptos básicos de la seguridadinformática,lasituaciónactualdelaudla.tambiéncomprendeunanálisis delestadodelarteenlaseguridadinformáticaylospuntosmásrelevantessobrela seguridadenelsistemaoperativounix.exponenlosconceptosmásrelevantessobre criptología,firewallsyherramientasexistentesdescribiendolasíntesisdeestetrabajo: porunlado,elhacker sworkbenchcomoesquemadedeteccióndevulnerabilidades 0

25 de la red UDLA y por otro, el Administrator s work bench como esquema de prevencióndeataques.seexplicanlaspartesqueconformanelesquemadeseguridad propuesto,suimplantación,susobjetivos,ylasnecesidadesquecubren presentando losresultadosobtenidoseneltrabajo,elestadoactualdelossistemasdesarrollados,los beneficiosprobadosenunaredlocalyenlaredudla.comoconclusióncorroborala necesidaddeincluirunáreaexclusivamentealmonitoreoycontroldelaseguridad informáticaencualquierreddecómputo.porotrolado,laspolíticasyprocedimientos establecidosnosonreflejadosmotivadoasucarácterdeconfidencialidadyporúltimo, seevidencialaexistenciademúltiplesherramientasgratuitasparaimplantarseguridad enlasredesdecomputo. Larelaciónquepresentaestetrabajoalapropuestaqueseestápresentandosebasa en el diseño y aplicación de un esquema integral de seguridad informática considerandoporunladounestudiodemetodologíasdeseguridadparasatisfacerlos requerimientosusuario infraestructura administrador,yporelotroelusodelos conceptos más relevantes sobre criptología, firewalls y herramientas existentes, así comoelhacker sworkbenchcomoesquemadedeteccióndevulnerabilidadesderedy eladministrator sworkbenchcomoesquemadeprevencióndeataques. CeriniyPrá(.00)desarrollaronunaauditoríadeseguridadinformáticayun análisisderiesgosenunaempresadeventadeautomotorestitulado Plandeseguridad informática,conelfindeelevarlaconsistenciadelossistemasdeinformaciónyde control, la eficiencia y efectividad de los programas y el cumplimiento de los reglamentosynormasprescritas.lametodologíaempleadafueladeinvestigaciónde campo dando como resultado las debilidades encontradas y recomendaciones que contribuyenamejorarsuniveldeseguridad.estosellevóacabocomomedioparael desarrollodeunplandeseguridadinformática,dondesedefinieronloslineamientosde laplaneación,eldiseñoeimplantacióndeunmodelodeseguridadconelobjetivode establecerunaculturadeseguridadenlaorganización. Elpropósitodeestablecerunplanesprotegerlainformaciónylosactivosdela organización,tratandodeconseguirconfidencialidad,integridadydisponibilidaddelos

26 datos; ylasresponsabilidadesquedeben asumircadaunode losempleadosde la organización,hechorelevanteparaeldesarrollodelapresenteinvestigación,yaque aporta una metodología de referencia para realizar un plan de seguridad de información. MelamedyRipepi (.00).desarrollaronun diseñoeimplantacióndeuna arquitecturaintegradadeprotecciónparalaplataformadecorreoelectrónicoenuna empresa de telecomunicaciones incluyendo tanto la intranet como extranet. El proyectoconsistióendiseñareimplantarunaarquitecturaintegradadeprotecciónpara el correo electrónico en la Corporación CANTV3. Con esta arquitectura se buscó reducirlasposiblesvulnerabilidadesdeseguridad.estetrabajoanalizalainformación manejada en la Corporación con el fin de diseñar políticas y procedimientos de seguridadparalosempleados,quepermitieronreforzarelesquemadeseguridaddela informaciónvíacorreoelectrónico.comoconclusiónselograeldiseñoeimplantación de procedimientos automáticos para la instalación de certificados digitales, y esto permiteelintercambiodeinformaciónseguradentrodelaplataformadecorreodela Corporación.Delmismomodo,seautomatizóelprocedimientodedistribucióndelas clavespúblicasyprivadas.conestaactividadsereduceaun00%laprobabilidadde ocurrenciadeerroreshumanosalmomentodeejecucióndeestetipodeactividadesy se garantiza el éxito en la implantación de la arquitectura de seguridad para la plataformadecorreoenformauniformeyacordealoslineamientosestablecidosenel trabajodegrado. EltrabajopresentadoporMelamedyRipepilograestablecerconceptosclarosy básicosparalosaspectosconcernientesalaseguridadinformática,asícomoeldiseño depolíticasyprocedimientosdeseguridadparalosempleados;hechorelevanteala horadeestablecerantecedentesdeinvestigacióneneláreaespecífica. DeSouza(.00)presentóenlaUniversidadFederaldeSantaCatarinaunaTesis titulada Gerenciadeseguridaddeinformaciónensistemasdeteletrabajo. Como 3 CANTV:Proveedordeaccesoainternet,serviciodeaccesovíadial upyconexionesdedicadascon adslyframerelay.

27 objetivodelagerenciadeseguridaddeinformación,realizóunarevisiónparaverificar comolasempresasbrasilerasestabanadministrandosusprogramasdeteletrabajocon relaciónaseguridaddeinformación.comobasetomófundamentosteórico empíricosy losresultadosdeinvestigaciones.lametodologíautilizadafueunmodelodeseguridad para garantizar la confidencialidad de la información en sistemas de teletrabajo, partiendodeuncontextodeaccesoremotoomodelodelineado,implementadoapartir delanormaiso/iec7799.losresultadosobtenidos,pormediodelaaplicacióndel modelo en una situación real, permitió validar la aplicación de la metodología propuestacomouninstrumentoefectivoparalagerencia. Larelacióndelapresenteinvestigaciónsecentraenlautilizacióndelanorma ISO/IEC7799paralograr unamejor seguridadde lainformaciónensistemas de teletrabajo.elusodeestanormaesantecedenteineludibledeestainvestigación. Hamana(.003)ensutrabajodegradotitulado Elementosbásicosparamodelos deseguridadenorganizacionesvenezolanas.realizaunanálisis conceptualsobre seguridadrespondiendolassiguientesinterrogantes: quéesseguridad?, cuálesson las amenazas y las herramientas con las que se cuenta?. Se enumeran los puntos necesarios para desarrollar un modelo base parala seguridad de las redes en una organización. Del análisis comparativo de la teoría, se logró extraer elementos indispensablesenlacomprensiónydesarrollodeltrabajo,quesirvencomopuntode apoyoparalaimplantacióndemodelospropios,dondelapartetécnicaseencargade evaluaryponerenfuncionamientotodoelequipamientoylogísticaparacumplircon loslineamientosdeseguridadquesonplanteadosdesdelaaltagerencia,acordeconla visióndelnegocio.lametodologíautilizadafueunestudiodeltipodescriptivono experimental.dentrodelaconclusionesobtenidassepuedeconsiderarqueelprimer pasoaseguirporunaempresaparaserseguraesidentificarlospuntosdébilesdesu red.larealizacióndetests, estudiosdetalladosdepuntosdeentradayanálisisde protocolosdeaplicacionespuedenformarpartedeestaetapa.apartirdelosresultados, informe en mano, se procede a evaluar qué áreas requieren mayor trabajo para garantizarquenoseránvulneradasporeventualesatacantes. 3

28 ElmodelodeseguridadparalaorganizaciónpropuestoporHamana,presentauna referenciaaseguirenlaexhaustivarevisiónbibliográficadeestainvestigación,como elementoqueayudeavislumbrarlasituacióndelasempresasenvenezuelaenloque conciernealaseguridadinformática. Endefinitivasepuededecir,quelostrabajosdeMurillo,Medina, Melamedy Ripepi exponenundiseñoyaplicabilidaddeesquemasintegralesdeseguridad,así comoconceptossólidosyrelevantesalahoradelainvestigación.hamana,desouza, CeriniyPrácontribuyenenlorelacionadoamodelos,políticas,lineamientosynormas utilizadasparalaimplementacióndeseguridadinformática. En este sentido, es evidente que las investigaciones señaladas guardan una estrecha relación con el objetivo general de este trabajo de grado, tanto en lo relacionadoconlaseguridaddelainformación,comoenlasnormativas,políticasy lineamientosnecesariosparaelresguardodelasmismas. BasesTeóricas Entrelosenfoquesteóricosquesustentanesteestudio,sehanconsideradolos supuestos de la Historia, Seguridad, Estándares de Seguridad, Norma ISO/IEC 700:005,NormaISO/IEC7799:005,PolíticasdeSeguridad,Administracióndel Riesgo,entreotras.Enesesentido,separtedeunenfoqueepistemológicosistémico, basado en una teoría que concibe la estructura como una concepción, que según Hurtado(.000), esaquelladondelarealidadesvistabajounaconcepciónsistemática, enlacuallaintegracióndeelementoscumplefuncionesyconfiguraestructuras. Historia Lahistoriadelaseguridadinformáticaseremontaalostiemposdelosprimeros documentosescritos.dehecho,lanecesidaddeinformaciónseguratuvosuorigenenel año.000antesdecristo.comoloexplica González(.003)losegipciosfueronlos primerosenutilizarjeroglíficosespecialesparacodificarlainformacióny,segúnpaso 4

29 eltiempo,lascivilizacionesdebabilonia,mesopotámiaygreciainventaronformasde protegersuinformaciónescrita.lacodificacióndelainformación,queeselbasedel cifrado,fueutilizadaporjuliocesar,ydurantetodalahistoriaenperíodosdeguerra, incluyendolasguerrascivilesyrevolucionarias,ylasdosguerrasmundiales.unade lasmáquinasdecodificaciónmejorconocidasfuelaalemanaenigma4,utilizadaporlos alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo,ygraciasalosesfuerzosdelproyectoultradelosestadosunidosdeamérica, entreotros,lacapacidaddedescifrarlosmensajesgeneradosporlosalemanesmarcó unéxitoimportanteparalosaliados. Enlosúltimosdiezaños,laimportanciadelaseguridadinformáticasehapuestode manifiestoporalgunashistorias.unadeellasfueladelgusanodeinternet,en.988, queseextendiópordecenasdemilesdecomputadores,comoresultadodelaobradeun hacker5llamadorobertmorris.habíaunpiratainformáticoen.995enalemaniaque seintrodujoencasi30sistemasapartirdeunobjetivoquesehabíapropuestoasí mismo de casi 500. Más recientemente, en febrero de.995, el arresto del pirata informáticomásbuscado,kevinnitnick,revelólasactividadescriminalesqueincluían el robo de códigos,deinformacióny de otrotipodedatossecretos duranteaños. Claramente,laampliautilizacióndelossistemasinformáticoshapuestoenevidenciala importancia de la seguridad informática. El objetivo principal de la seguridad informáticaesprotegerlosrecursosinformáticosdeldaño,laalteración,elroboyla pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listadosdeimpresorayengeneral,losdatos. 4 5 Enigma:Eraunamáquinaconmecanismodecifradorotativoutilizadotantoparacifradocomo paradescifrado, Hacker:(delingléshack,hachar)eselneologismoutilizado parareferirseaunexperto(véase Gurú)envariasoalgunaramatécnicarelacionadaconlastecnologíasdelainformaciónylas telecomunicaciones: programación, redes de computadoras, sistemas operativos, hardware de red/voz,etc. 5

30 Seguridad SegúnlaRealAcademiaEspañola(.006),lodefine...comoestadodeseguro; garantíaoconjuntodegarantíasquesedaaalguiensobreelcumplimientodealgo... Siseaplicaelconceptoanterioraseguridaddelainformación,sedebeampliarel conceptoindicandoqueesunacaracterísticadecualquiersistemaqueindiquequeeste últimoestálibredepeligro,dañooriesgo.seentiendecomopeligroodañotodo aquelloquepuedaafectarsufuncionamientodirectoolosresultadosqueseobtienen delmismo.paralamayoríadelosexpertoselconceptodeseguridadenlainformática esutópicoporquenoexisteunsistemacienporcientoseguro. SegúnGomez(.006)paraqueunsistemasepuedadefinircomosegurosedebe dotardecuatrocaracterísticasalmismo: Integridad: requiere que la información solo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creaciónyreactuacióndemensajestrasmitidos. Confidencialidad:requierequelainformaciónseaaccesibleúnicamenteporlas entidadesautorizadas. Disponibilidad: requiere que los elementos del sistema informático estén disponiblesparalasentidadesautorizadascuandolosnecesiten. Norepudio: ofreceprotecciónaunusuariofrenteaotrousuarioquenieguen posteriormentequeserealizóciertacomunicación.estaprotecciónseefectúa por medio de una colección de evidencias irrefutables que permitirán la resolucióndecualquierdisputa.elnorepudiodeorigenprotegealreceptorde queelemisornieguehaberenviadoelmensaje,mientrasqueelnorepudiode recepciónprotegealemisordequeelreceptornieguehaberrecibidoelmensaje. PorsuparteMaiwald(.005)ladefinecomo Medidasadoptadasparaevitareluso noautorizado,elmaluso,lamodificaciónoladenegacióndelusodeconocimiento, hechos,datosocapacidades.endefinitivalaseguridaddelainformacióneselnombre 6

31 dadoalospasospreventivosquesetomanparaprotegertantolainformacióncomosus capacidades. EstándaresdeSeguridad Enloquerespectaaestándaresdeseguridad,laUniversidadNacionaldeColombia y escert6 Universidad Politécnica Catalunya (.005) exponen que existen varios estándaresinternacionalesrelacionadosconseguridadinformáticaqueseconsideran importantesenlaactualidadoquedebenserreferenciadosporsuimportanciahistórica. Enestesentido,estánclasificadosenseis(6)clasesdeestándarescomoson:parala administración de seguridad de la información, para evaluación de seguridad en sistemas,paradesarrollodeaplicaciones,paraserviciosfinancieros,parariesgosypara autenticación. Paralaadministracióndeseguridaddelainformación: LaInternetEngineeringTaskForce(IETF7)elaboróelRFC896SiteSecurity Handbook, que ofrece una guía práctica para quienes intentan asegurar servicioseinformación. ElestándarbritánicoBS7799esunestándaraceptadoampliamentequehasido utilizado como base para elaborar otros estándares de seguridad de la información,incluyendoeliso7799yeliso700.fuedesarrolladoporel BritishStandardsInstitute. LaAgenciaFederalParaSeguridaddeInformaciónenAlemaniahageneradoel IT Baseline Protection Manual. Este documento presenta un conjunto de escert: Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas. IETF:InternetEngineeringTaskForce,encastellanoGrupodeTrabajoenIngenieríadeInternet. Esunaorganizacióninternacionalabiertadenormalización,quetienecomoobjetivoselcontribuir alaingenieríadeinternet,actuandoendiversasáreas,talescomotransporte. RFC: Un documento Request For Comments (abreviado como RFC), que se traduce como "peticióndecomentarios",esundocumentocuyocontenidoesunapropuestaoficialparaunnuevo protocolodelaredinternet(originalmentedearpanet),queseexplicacontododetalleparaque encasodeseraceptadopuedaserimplementadosinambigüedades. editor.org/ 7

32 métricasdeseguridadrecomendadasosafeguards,comosedenominanenel manual,parasistemasittípicos. La Organización para la cooperacióny el desarrollo económicos, en inglés (OECD9)creódirectricesparalaseguridaddesistemasyredesdeinformación. lascualespuedenserrevisadasenguidelinesforthesecurityofinformation Systems. Estándaresparaevaluacióndeseguridadensistemas: La International Organization for Standardization (ISO) ha elaborado el estándar IS Este estándar, The Common Criteria for Information TechnologySecurityEvaluationv.(ISOIS5408)esunamezclamejorada deitsec,elcanadiancriteria,yelusfederalcriteria. LaSerieArcoIris RainbowSeries (OrangeBook)(EE.UU.)Unaimportante seriededocumentoseslarainbowseries,quedelineavariosestándaresde seguridaddesarrolladosenlosestadosunidos. ElReinoUnidoelaboróelInformationTechnologySecurityEvaluationCriteria (ITSEC0) a comienzos de los años 90, y es otro estándar históricamente importante.fueelaborado,enalgunosaspectos,basándoseenelorangebook. Estándaresparadesarrollodeaplicaciones: ElSoftwareEngineeringInstitutelideróeldesarrollodelCapabilityMaturity Model(CMM),queesunmétodoparagarantizarmadurezenprocesos. UnderivadodelCMMeselSystemSecurityEngineeringCapabilityMaturity Model(SSE CMM). ElSSE CMMdescribelascaracterísticasesencialesdel procesodelaingenieríadelaseguridaddeunaorganizaciónquedebenexistir paraasegurarlabuenaingenieríadelaseguridad. Estándaresparaserviciosfinancieros: ISO 3:99 Banking and Related Financial Services; Sign on Authentication 9 0 OECD:OrganisationforEconomicCo operationanddevelopment. ITSEC:InformationTechnologySecurityEvaluationCriteria. 8

33 ISO 3569:997 Banking and Related Financial Services Information SecurityGuidelines Estándaresparariesgo: AcquisitionRiskManagement(EE.UU.)ElSoftwareEngineeringInstitutetiene algunosdocumentossobreacquisitionriskmanagement. Estándaresparaautenticación: ISO 3:99 Banking and Related Financial Services; Sign on Authentication Debidoalanecesidaddeestablecerseguridadenlainformaciónqueposeenlas organizacioneseraprecisolaexistenciadealgunanormativaoestándarqueenglobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla.anteestadisyuntivaaparecióelbs7799,oestándarparalagestióndela seguridaddelainformación,unestándardesarrolladoporelbritishstandardinstitute en.999enelqueseenglobantodoslosaspectosrelacionadosconlagestióndela seguridaddelainformacióndentrodelaorganización.estanormativabritánicageneró enlaactualiso/iec700:005ylaiso/iec7799:005. LaISO/IEC700:005ylaISO/IEC7799:005consideranalaorganización comounatotalidadytienenenconsideracióntodoslosaspectosquesepuedenver afectadosantelosposiblesincidenteshaproducirse.estasnormaspretendenaportarlas basesparatenerenconsideracióntodosycadaunodelosaspectosquepuedesuponer unincidenteenlasactividadesdenegociodelaorganización. Estanormaesaplicableacualquierempresa,seacualseaeltamaño,laactividadde negocio o el volumen del mismo. Esto es lo que se denomina el principio de proporcionalidaddelanorma;esdecir,quetodoslosaspectosqueaparecenen la normativadebensercontempladosytenidosencuentaportodaslasorganizacionesala horadeprotegersusactivos,yladiferenciaradicaráenqueunagranorganización tendráqueutilizarmásrecursosparaprotegeractivossimilaresalosquepuedeposeer una pequeña organización. De la misma forma, dos organizaciones que tengan 9

34 actividadesdenegociomuydiferentes,nodedicaránlosmismosesfuerzosaproteger losmismosactivosdeinformación. Enpocaspalabras,estanormadebetenersecomoguíadelosaspectosquedeben tenercontroladosynoquieredecirquetodoslosaspectosqueenellaaparecentienen queserimplementadosconlosúltimosavances.tododependerádelanaturalezadela propia organización. De la relevancia demostrada de la normativa de seguridad se muestraacontinuaciónelcuadroevolucióndelanormativa. Cuadro Evolucióndelanormativa. Año Norma 995 BS7799 : BS7799 : RevisiónBS7799 : ISO/IEC7799: RevisiónBS7799 : RevisiónISO/IEC7799: RevisiónBS7799 : ISO/IEC700:005(Normainternacionalcertificable) Nota:Autor(.006) ElconjuntodeestándaresqueaportaninformacióndelafamiliaISO 700x,quese debentenerencuentacomomarcoreferencialenmateriadeseguridadysemuestranen elcuadroacontinuación: 0

35 Cuadro Futurodelanormativa. Norma Descripción Añode publicación ISO7000 VocabularioyDefiniciones 007 ISO700 ISMS EstándarCertificable(revisedBS7799Part:005)Publicado 005 el5deoctubredel005 ISO700 CódigodeBuenasPrácticas,relevodeISO7799:005.Publicadoel 007 5dejuniodel005 ISO7003 GuíaparalaImplantación(bajodesarrollo) 008 ISO7004 MétricaseIndicadores(bajodesarrollo) 008 ISO7005 Gestión de Riesgos (BS :006) (basado e incorporado a 008 ISO/IEC3335MICTSPart)(bajodesarrollo) ISO7006 ContinuidaddeNegocio/RecuperaciónDesastres Nota:Autor(.006) 007 NormaISO/IEC 700:005 SegúnlaNorma:Elestándarinternacionalhasidopreparadoconlafinalidadde proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantenerymejorarunsistemadegestióndeseguridaddelainformación(sgsi).la adopcióndeunsgsidebeserunadecisiónestratégicaparaunaorganización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados, el tamañoyestructuradelaorganización.seesperaqueestosysussistemasdeapoyo cambien a lo largo del tiempo. Se espera quela implementación de un SGSI se extiendaenconcordanciaconlasnecesidadesdelaorganización;porejemplo,una situaciónsimplerequiereunasoluciónsgsisimple. Esteestándarinternacionalpromuevelaadopcióndeunenfoquedelprocesopara establecer,implementar,operar,monitorear,revisar,mantenerymejorarelsgsideuna organización.laorganizaciónnecesitaidentificarymanejarmuchasactividadespara poder funcionar de manera efectiva. Cualquier actividad que usa recursos y es manejadaparapermitirlatransformacióndeinsumosenproductos,sepuedeconsiderar

36 unproceso.confrecuenciaelproductodeunprocesoformadirectamenteelinsumo delsiguienteproceso. Laaplicacióndeunsistemadeprocesosdentrodeunaorganización,juntoconla identificaciónylasinteraccionesdeestosprocesosysugestión,puedeconsiderarseun enfoquedelproceso. Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar internacional fomenta que sus usuarios enfaticen la importanciade: Entender los requerimientos de seguridad de la información de una organizaciónylanecesidaddeestablecerunapolíticayobjetivosparala seguridaddelainformación; Implementaryoperarcontrolesparamanejarlosriesgosdelaseguridadde lainformación; MonitorearyrevisareldesempeñoylaefectividaddelSGSI;y Mejoramientocontinúoenbasealamedicióndelobjetivo. ElestándarinternacionaladoptaelmodelodelprocesoPlanear Hacer Chequear Actuar(PDCA),elcualsepuedeaplicaratodoslosprocesosSGSI.ElGráficomuestra cómounsgsitomacomoinsumolosrequerimientosyexpectativasdelaseguridadde lainformacióndelaspartesinteresadasyatravésdelasaccionesyprocesosnecesarios produce resultados de seguridad de la información que satisfacen aquellos requerimientos yexpectativas.el Gráfico yel cuadro 3 también muestran los vínculosenlosprocesospresentadosenlascláusulas4,5,6,7y8delanormayla descripcióndelmodelorespectivamente. LaadopcióndelmodeloPDCAtambiénreflejarálosprincipiostalcomose establecenenloslineamientosoecd(.00)quegobiernanlossistemasyredesde seguridaddelainformación.esteestándarinternacionalproporcionaunmodelosólido paraimplementarlosprincipiosenaquelloslineamientosquegobiernanlaevaluación LineamientosOECDparaSistemasyRedesdeSeguridaddelaInformación HaciaunaCultura deseguridad.parís:oecd,julio00.

37 del riesgo, diseño e implementación de seguridad, gestión y re evaluación de la seguridad. Gráfico:ModeloPDCAaplicadoalosprocesosSGSI.ISO/IEC 700:005 Cuadro3 DescripcióndelModeloPDCAaplicadoalosprocesosSGSI Planear(establecer elsgsi) Hacer(implementar yoperarelsgsi) Chequear (monitoreary revisarelsgsi) Actuar(mantenery mejorarelsgsi) Establecerpolítica,objetivos,procesosyprocedimientosSGSIrelevantesparamanejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordanciaconlaspolíticasyobjetivosgeneralesdelaorganización. Implementaryoperarlapolítica,controles,procesosyprocedimientosSGSI. Evaluary,dondeseaaplicable,medireldesempeñodelprocesoencomparaciónconla política,objetivosyexperienciasprácticassgsiyreportarlosresultadosalagerencia parasurevisión. Tomaraccionescorrectivasypreventivas,basadasenlosresultadosdela auditoría interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramientocontinuodelsgsi. Nota:ISO/IEC 700:005 NormaISO/IEC 7799:005 Esteestándarinternacionalestableceloslineamientosyprincipiosgeneralespara iniciar,implementar,mantenerymejorarlagestióndelaseguridaddelainformación en una organización. Los objetivos delineados en este estándar internacional proporcionan un lineamiento sobre los objetivos de gestión de seguridad de la informacióngeneralmenteaceptados. 3

38 Losobjetivosdecontrolyloscontrolesdeesteestándarinternacionalsondiseñados paraserimplementadosysatisfacerlosrequerimientosidentificadosporunaevaluación delriesgo.esteestándarinternacionalpuedeservircomounlineamientoprácticopara desarrollarestándaresdeseguridadorganizacionalyprácticasdegestióndeseguridad efectivasyparaayudaraelaborarlaconfianzaenlasactividadesinter organizacionales. Este estándar contiene cláusulas de control de seguridad conteniendo colectivamente un total de 39 categorías de seguridad principales y una cláusula introductoriaquepresentalaevaluaciónytratamientodelriesgo. Lasoncecláusulasyelnúmerodecategoríasdeseguridadprincipalesincluidas dentrodecadacláusulason: a) PolíticadeSeguridad(); b) OrganizacióndelaSeguridaddelaInformación(); c) GestióndeActivos(); d) SeguridaddeRecursosHumanos(3); e) SeguridadFísicayAmbiental(); f) GestióndeComunicacionesyOperaciones(0); g) deacceso(7); h) Adquisición,DesarrolloyMantenimientodeSistemasdeInformación(6); i) GestióndeIncidentesdeSeguridaddelaInformación(); j) GestióndelaContinuidadComercial(); k) Conformidad(3). PolíticasdeSeguridad. Maiwald(.005),planteaque lapolíticadeseguridaddefinelosrequerimientos técnicosparalaseguridadensistemasdecómputoyelequipoderedes.definela maneraenqueunadministradorderedesosistemasdeberíaconfigurarunsistema respectoalaseguridad.estaconfiguracióntambiénafectaráalosusuarios,yalgunos delosrequerimientosestablecidosenlapolíticadeberíancomunicarsealacomunidad 4

39 deusuariosengeneral.laresponsabilidadprincipalparalaimplementacióndeesta políticarecaesobrelosadministradoresdelsistemaydelared,siempreconelrespaldo delaadministración. Laspolíticasproporcionanlasreglasquegobiernancómodeberíanserconfigurados los sistemas y como deberían actuar los empleados de una organización en circunstancias normales y cómo deberían reaccionar si se presentan circunstancias inusuales.propiamentedicho,lapolíticarealizadosfuncionesprincipales: Defineloquedeberíaserlaseguridaddentrodeunaorganización. Poneatodosenlamismasituación,demodoquetodoelmundoentiendaloque seesperadeellos. Haytresseccionesdecadapolíticaquesoncomunesyqueseexaminaráncomosigue: Propósito: cada política y procedimiento debería tener un propósito bien definido, que articule claramente por qué fueron creados tal política o procedimiento,yquebeneficioesperalaorganizaciónderivardelosmismos. Ámbito:Cadapolíticayprocedimientodeberíatenerunasecciónquedefinasu aplicabilidad.porejemplo,unapolíticadeseguridaddebeaplicarseatodoslos sistemasdecómputoyderedes.unapolíticadeinformaciónpuedeaplicarsea todoslosempleados. Responsabilidad: La sección de responsabilidad de una política o procedimiento define quién se hará responsable por la implementación apropiadadeldocumento.quienquieraqueseadesignadocomoelresponsable deaplicarunapolíticaoprocedimientodebesercapacitadodemaneraadecuada yestarconscientedelosrequerimientosdeldocumento. PlandeSeguridad Sanz(.006)explicaqueelplandeseguridadeslaherramientautilizadaporlas empresasparagarantizarlaseguridaddesussistemasyservicios.consisteenunaserie de normas, procedimientos y políticas que se implantan en la estructura de una 5

40 organización con el objetivo de detectar, corregir y prevenir todos los riesgos de seguridad,tantopresentescomofuturos. LaestructuradeunPlandeSeguridadsedivideenvariasfases: Identificacióndeelementosaproteger. Análisisyvaloracióndelosriesgospresentesyfuturos. Diseño de unas medidas de seguridad que eliminen o mitiguen dichos riesgos. Implantacióndedichasmedidasdeseguridad. Auditoríadelasmedidasimplementadas(repetidadeformaperiódica). Revisiónyactualizacióndelasmedidasimplantadas. Agrosomodo,unbuenPlandeSeguridaddeberíacontemplarlossiguientes aspectos: Política de gestión y administración de equipos, elementos de red y servicios;quecubralainstalación,configuraciónyusodiariosegurode todosloselementosqueconformanlared. Políticadeadministracióndeparchesyactualizaciones; quemantengalos equiposalniveldeactividadóptimoencuantoaseguridadyrendimiento. Procedimientosdetransmisiónseguradedatos;quegaranticenlaseguridad delascomunicacionesentrelaempresayclientesoproveedores. Normasde seguridadfísica; quepermitanrealizaruncontrol deacceso efectivo a las instalaciones en las que se encuentran los elementos que conformanlared. Procedimientosdegestiónyadministracióndeusuariosycontraseñas;que establezcan un control efectivo y robusto de los accesos y permisos existentesenelsistema. Políticade antivirus; que permita asegurarquelos contenidos ofrecidos estánlibresdevirus,troyanosycualquierotroelementoperniciosoparael usuario. 6

41 Política de gestión y almacenamiento de logs o registros; que permita realizarunseguimientodelosaccesosrealizadostantoalosservicioscomo alosrecursosdelaempresa. Política de copias de seguridad o backups; que permita, ante un fallo catastróficodelsistema,restaurarelmismoconlamenorpérdidadedatos posible. Procedimientos ante contingencias del sistema; que garanticen una actuaciónrápidayeficazantecualquierfallodelservicio. Procedimientos ante incidencias deseguridad del sistema; que permitan reaccionar,identificar,actuarycontrarrestarcualquiertipodeaccesono autorizadoalossistemasqueprestanelservicio. Procedimientosdeformaciónyconcienciacióndelpersonaldelaempresa; con el fin de garantizar el conocimiento de unas prácticas básicas de seguridad. EsimportantereseñarqueelPlandeSeguridadesunainiciativaqueafectaa todoslosestratosdeunsistema.segestayefectúadesdeeldepartamentodesistemas Informáticos,peronecesitaporunapartedelapoyodelaDirección(paraqueasignelos recursoseconómicosyhumanosnecesariosparasuejecución),yporotrapartede todoslosusuariosdelsistema,quedebenestarconcienciadosysensibilizadosacercade laimportanciadelaseguridadensusistema. Administracióndelriesgo DeacuerdoaMaiwald(.005)laseguridadseconsigueadministrandoelriesgo.Si noseentiendecualessonlosriesgosdeseguridadparalosactivosdeinformacióndela organización,puedenutilizarsedemasiadosoescasosrecursos,outilizarlosdemanera equivocada.laadministraciónderiesgostambiénproporcionaunabaseparaelavaluo delosactivosdeinformación.alidentificarlosriesgos,ustedpuedeidentificarelvalor 7

42 delostiposparticularesdeinformaciónyelvalordelossistemasquecontienenesa información. Elriesgoeselpotencialdeloquepuedeserperdidoyrequiereprotección.Elriesgo contienedoscomponentes:laamenazaylavulnerabilidad.deellosepuedeinferirque elriesgoesigualalasumadelasamenazasylasvulnerabilidades. Riesgo=vulnerabilidad+amenaza. Seentiendeporvulnerabilidadunavíadeataquepotencial.Lasvulnerabilidades puedenexistirenredesysistemasdecomputooenprocedimientosadministrativos. Unaamenazaesunaacciónoeventoquepuedeviolarlaseguridaddeunentornode sistemasdeinformación.existentrescomponentesdeamenaza: Objetivos:Elaspectodelaseguridadquepuedeseratacado. Agentes:Laspersonasuorganizacionesqueoriginalaamenaza. Eventos:Eltipodeacciónquerepresentalaamenaza. EnestesentidoCERT(ComputerEmergencyResponseTeam),equipoderespuesta deemergenciasaincidentesdeseguridadcreadopordarpa3 (DefenseAdvanced ResearchProjectsAgency)en.988,publicaensusitewebelcuadro4quemuestralas vulnerabilidadesreportadas,dandountotalde6.73. Cuadro4 Vulnerabilidadesdivulgadas Año Q Q,006 Vulnerabilidades 7 Nota: ,090,437 4,9 3,784 3,780 5,990 3,997 ElCERTtrabajaparafacilitarlasrespuestasaincidentesdeseguridadqueafectana Internet,conelobjetivodetomarlasmedidasoportunasdeprevención,ademásde investigarymejorarlaseguridaddelossistemasqueexisten. 3 CERT:EquipodeRespuestaaIncidentesdeSeguridadenCómputo. DARPA:LaAgenciadeInvestigacióndeProyectosAvanzadosdeDefensa. 8

43 Conlafinalidadderealizarunaadministracióndelriesgosedebeelaborarun análisisderiesgosytomarcomoreferenciaelestándar. AnálisisdelRiesgoylosRequerimientosdelISO700:005 Alexander(.006)expresa: ElISO700:005requierequelaorganización queestaplaneandoimplantarunsgsi,primerodefinaelalcancedelestándarenla empresa,yenbaseaesealcanceidentifiquetodoslosactivosdeinformación. Paraidentificarlosactivosdeinformaciónsepuedeutilizarlametodologíade las elipses, la cual una vez determinado el alcance se decide el proceso que se evaluará.conestosetratadevisualizarconmuchaprecisiónlosdistintossubprocesos quecomponenalalcance.estosedeterminaenlaelipseconcéntrica,elpasosiguiente sería determinar los usuarios y dueños de esos procesos, el segundo paso en la metodología,eseldeidentificarenlaelipseintermedialasdistintasinteraccionesde lossubprocesosdelaelipseconcéntrica,tienenconotrosprocesosdelaorganización. Seguidamente, también se deben identificar con la elipse concéntrica. La elipse externa,seidentificanaquellasorganizacionesextrínsecaalaempresaquetienencierto tipodeinteracciónconlossubprocesosidentificadosenlaelipseconcéntrica. Losactivosdeinformacióndebensertasadosparaidentificarsuimpactoenla organización.luegounanálisisdelriesgoesrequeridoparadeterminarqueactivos estánbajoriesgo. Sedebentomardecisionesenrelaciónaqueriesgoslaorganización aceptaráyquecontrolesseránimplantadosparamitigarelriesgo.alagerenciasele requierequereviseelsgsienlaorganizaciónaintervalosplanificadosparaasegurar suadecuaciónyeficacia.lagerenciaesexigidaquecontrolelosnivelesderiesgos aceptadosyelestadodelriesgoresidual(riesgoquequedadespuésdeltratamientodel riesgo).eliso700:005esunsistemadinámicoqueobligaalagerenciaestar constantemente revisando y definiendo controles, sus amenazas, vulnerabilidades e iniciaraccióncorrectivaypreventivacuandoseanecesario. 9

44 ProcesodeEvaluacióndelRiesgo Elprocesodeevaluacióndelriesgoquepermiteaunaorganizaciónestaren conformidadconlosrequerimientosdelestándarestapresentadaenelgráfico 3.El procesodelasseis(6)fasesayudaacualquierorganizaciónquedeseeestablecerun SGSI,enconcordanciaconlacláusula4..delestándar. Gráfico3:Procesodeevaluaciónderiesgo IdentificaciónyTasacióndeActivos: Unactivoesalgoquetienevaloro utilidadparalaorganización,susoperacionesysucontinuidad.losactivosnecesitan protecciónparaasegurarlascorrectasoperacionesdelnegocioylacontinuidaddela empresa. La gestión apropiada de los activos es vital para poder mantener una adecuadaproteccióndelosactivosdelaempresa. Cadaactivodebeestarclaramenteidentificadoyvaloradoapropiadamente,ysu propietario y clasificación de seguridad acordada en la organización. El ISO 7799:005 (Código de Práctica para la Gestión de la Seguridad de Información) clasificalosactivosdelasiguientemanera:()activosdeinformación:basesdedatos yarchivosdedatos,documentacióndelsistema,manualesdeusuario,materialesde entrenamiento, procedimientos operativos de apoyo, planes de continuidad; () Documentos impresos: contratos, lineamientos, documentos de la compañía, documentosquecontienenresultadosimportantesdelnegocio;(3)activosdesoftware: Softwaredeaplicación,softwaredesistemas,herramientasdedesarrollo;(4)Activos 30